Katalog CVE

CVE-2025-14533

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 0.9.2.1 włącznie. Problem wynika z funkcji 'insert_user', która nie ogranicza ról, z jakimi użytkownik może się rejestrować.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą zarejestrować się z rolą 'administrator', co pozwala im uzyskać dostęp administracyjny do strony. To stwarza poważne zagrożenie dla bezpieczeństwa witryny.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Należy również rozważyć ograniczenie dostępu do rejestracji użytkowników oraz monitorowanie ról przypisywanych podczas rejestracji.

Oryginalny opis (angielski, źródło NVD)

The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 0.9.2.1. This is due to the 'insert_user' function not restricting the roles with which a user can register. This makes it possible for unauthenticated attackers to supply the 'administrator' role during registration and gain administrator access to the site. Note: The vulnerability can only be exploited if 'role' is mapped to the custom field.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS