CVE-2025-13486
CriticalSummary
Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na zdalne wykonanie kodu w wersjach od 0.9.0.5 do 0.9.1.1 poprzez funkcję prepare_form(). Problem wynika z akceptacji danych wejściowych od użytkownika, które są następnie przekazywane przez call_user_func_array().
Risk Assessment
Atakujący bez uwierzytelnienia mogą wykonać dowolny kod na serwerze, co stwarza ryzyko wprowadzenia backdoorów lub tworzenia nowych kont administracyjnych.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu w celu wykrycia potencjalnych nadużyć.
Original NVD description (English source)
The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Remote Code Execution in versions 0.9.0.5 through 0.9.1.1 via the prepare_form() function. This is due to the function accepting user input and then passing that through call_user_func_array(). This makes it possible for unauthenticated attackers to execute arbitrary code on the server, which can be leveraged to inject backdoors or create new administrative user accounts.

