CVE-2025-14533
CriticalSummary
Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 0.9.2.1 włącznie. Problem wynika z funkcji 'insert_user', która nie ogranicza ról, z jakimi użytkownik może się rejestrować.
Risk Assessment
Atakujący bez uwierzytelnienia mogą zarejestrować się z rolą 'administrator', co pozwala im uzyskać dostęp administracyjny do strony. To stwarza poważne zagrożenie dla bezpieczeństwa witryny.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Należy również rozważyć ograniczenie dostępu do rejestracji użytkowników oraz monitorowanie ról przypisywanych podczas rejestracji.
Original NVD description (English source)
The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 0.9.2.1. This is due to the 'insert_user' function not restricting the roles with which a user can register. This makes it possible for unauthenticated attackers to supply the 'administrator' role during registration and gain administrator access to the site. Note: The vulnerability can only be exploited if 'role' is mapped to the custom field.

