PT-2025-48795 · WordPress · Advanced Custom Fields: Extended
Marcin Dudek
·
Publicado
2025-12-03
·
Atualizado
2026-01-09
·
CVE-2025-13486
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Advanced Custom Fields: Extended e Versões Afetadas
Advanced Custom Fields: Extended versões 0.9.0.5 até 0.9.1.1
Descrição
O plugin Advanced Custom Fields: Extended para WordPress possui uma vulnerabilidade que permite a Execução Remota de Código (RCE). Isso se deve ao fato de a função
prepare form() aceitar entrada do usuário e passá-la através de call user func array(). Isso permite que atacantes não autenticados executem código arbitrário no servidor, potencialmente permitindo-lhes injetar backdoors ou criar novas contas de usuário administrativas. Estima-se que aproximadamente 100.000 sites WordPress sejam afetados. Os atacantes podem explorar isso enviando uma requisição especialmente elaborada ao servidor. A função prepare form() é o ponto de entrada para este problema.Recomendações
Atualize para o Advanced Custom Fields: Extended versão 0.9.2 ou posterior.
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advanced Custom Fields: Extended