CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-14533

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 0.9.2.1 włącznie. Problem wynika z funkcji 'insert_user', która nie ogranicza ról, z jakimi użytkownik może się rejestrować.

Risk Assessment

Atakujący bez uwierzytelnienia mogą zarejestrować się z rolą 'administrator', co pozwala im uzyskać dostęp administracyjny do strony. To stwarza poważne zagrożenie dla bezpieczeństwa witryny.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Należy również rozważyć ograniczenie dostępu do rejestracji użytkowników oraz monitorowanie ról przypisywanych podczas rejestracji.

Original NVD description (English source)

The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 0.9.2.1. This is due to the 'insert_user' function not restricting the roles with which a user can register. This makes it possible for unauthenticated attackers to supply the 'administrator' role during registration and gain administrator access to the site. Note: The vulnerability can only be exploited if 'role' is mapped to the custom field.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS