Към съдържанието
20 January 2026: HelloBlog.io стартира: мултиезичен, без реклами и с фокус върху WordPress и open source
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
Критична ескалация на привилегии в ACF Extended: кога реално си изложен и какво да направиш
Георги Петров
Георги Петров 19 January 2026 · 1 мин. четене

Критична ескалация на привилегии в ACF Extended: кога реално си изложен и какво да направиш

Сигурност acf extended wordfence wordpress Плъгини сигурност

В екосистемата на WordPress често „удобството“ идва от плъгини, които дават мощни инструменти за фронтенд форми, регистрация и управление на потребители. Точно там се появи критична уязвимост в Advanced Custom Fields: Extended (популярен като ACF Extended – addon към Advanced Custom Fields), която позволява ескалация на привилегии до администратор за неавтентикиран посетител при определени условия.

Случаят е публикуван от Wordfence и е особено важен за екипи, които правят custom регистрации през front-end, използвайки „form actions“ на ACF Extended. Добрата новина: има пач. Лошата: ако имаш специфична конфигурация на форма, рискът е реален и последствията са пълно компрометиране на сайта.

Какво точно е уязвимостта (накратко, но технически)?

Уязвимостта е класифицирана като Unauthenticated Privilege Escalation и е описана от Wordfence като: Advanced Custom Fields: Extended <= 0.9.2.1 — Unauthenticated Privilege Escalation via Insert User Form Action. Има CVSS 9.8 (Critical) и CVE: CVE-2025-14533.

Проблемът е в логиката за създаване на потребител през „action“ тип insert_user (и релевантно — сценарии за update_user), където аргументите за wp_insert_user() се изграждат на база на данни от формата. Ако формата подаде поле за роля (role) и то е мапнато към действието, в уязвимите версии липсва адекватно ограничение кои роли са разрешени — и атакуващият може да подаде administrator.

Кои сайтове са реално засегнати?

Тук има важен нюанс, който лесно се изпуска в заглавията. По информацията в анализа, уязвимостта става критична само ако на сайта е конфигурирана форма в ACF Extended, която:

  • ползва „Create user“ (insert_user) или „Update user“ action;
  • има добавено поле за роля (role) като част от полетата за потребителя;
  • и това поле е мапнато към action-а (т.е. стойността отива в аргументите към wp_insert_user()).

Wordfence изрично отбелязват, че тази конфигурация вероятно е сравнително рядка, но когато я има – рискът е от най-висок клас, защото дава администраторски достъп без логин.

Защо това е толкова опасно в WordPress контекст?

Ескалацията до администратор не е „просто“ да видиш някакви данни. Администраторът в WordPress може да:

  • качва и активира плъгини/теми (включително злонамерени ZIP-ове с backdoor);
  • редактира файлове (в зависимост от конфигурацията) и да инжектира код;
  • променя съдържание за SEO spam или редиректи към malicious домейни;
  • създава допълнителни админ акаунти за устойчив достъп.

Къде се къса веригата: очаквано ограничение, което не се прилага

В ACF/ACF Extended често има UX настройки от типа „Allow User Role“, които те карат да вярваш, че изборът на роли е ограничен. Логичното очакване е същото ограничение да важи и за form action-а, който реално създава потребителя.

В уязвимите версии обаче ограничението не се прилага на нивото на „submit“/action обработката. Така, дори в UI да си „заключил“ избора, ако атакуващият може да подаде стойност за role чрез заявката към формата, тя може да стигне до wp_insert_user() като administrator.

Засегнати версии и фикса

Според публикуваните данни уязвимостта засяга Advanced Custom Fields: Extended до версия 0.9.2.1 включително. Пачът е издаден в 0.9.2.2 и препоръката е обновяване възможно най-бързо.

Ако поддържаш сайтове на клиенти

Провери не само дали плъгинът е инсталиран, а дали има активни front-end форми с „Create user/Update user“ action и мапнато role поле. Точно тази комбинация прави уязвимостта експлоатируема.

Как да провериш дали си уязвим (практичен чеклист)

  1. В Admin панела провери версията на Advanced Custom Fields: Extended. Ако е <= 0.9.2.1, планирай незабавно обновяване до 0.9.2.2.
  2. Провери дали използваш ACF Extended Forms / Form Manager за публични (front-end) форми.
  3. Намери форми, които имат action тип Create user (insert_user) или Update user.
  4. В тези форми провери field mapping-а: има ли поле, което попълва role/потребителска роля.
  5. Ако има — третирай го като критичен риск, докато не обновиш плъгина (и по възможност преразгледай дизайна: ролята рядко трябва да идва от клиента).

Временни мерки, ако не можеш да обновиш веднага

Най-правилното решение е обновяване до пачнатата версия. Ако обаче имаш прозорец, в който не можеш да пуснеш ъпдейт веднага (например enterprise промени с QA), минимизирай риска така:

  • Премахни role полето от публичните форми или прекъсни mapping-а му към action-а.
  • Ограничи достъпа до формата (например да не е достъпна за анонимни посетители), ако бизнес логиката позволява.
  • Добави WAF (web application firewall). Wordfence са пуснали firewall правило за тази уязвимост: за платените си потребители на 11 декември 2025, а за Wordfence Free — на 10 януари 2026 (по тяхната 30-дневна политика).

Детайли по разкриването и реакцията (за контекст)

Докладът е подаден към Wordfence на 10 декември 2025 чрез Bug Bounty програмата им. След валидация на 11 декември 2025 е предоставена защита чрез firewall rule за Wordfence Premium/Care/Response и са изпратени детайлите към vendor-а през Wordfence Vulnerability Management Portal. Екипът на ACF Extended е пуснал пачната версия 0.9.2.2 на 14 декември 2025.

Какво да запомниш (без излишна паника)

  • Уязвимостта е критична (CVSS 9.8), но не е „автоматично“ експлоатируема на всеки сайт с ACF Extended — трябва конкретна конфигурация на форма.
  • Ако имаш front-end регистрация/създаване на потребители през ACF Extended и role поле е част от payload-а — приеми, че рискът е висок.
  • Обновяването до 0.9.2.2 е задължителната стъпка, а след това е добра практика да не доверяваш role избор на клиента, освен ако не е строго контролирано на сървърно ниво.

Препратки / Източници

Георги Петров

Георги Петров

Backend разработчик и системен архитект. Експерт по PHP и Laravel, изграждането на уеб приложения с голям трафик е моята специалност.

Всички публикации

Още от Георги Петров

HelloBlog.io стартира: мултиезичен, без реклами и с фокус върху WordPress и open source HelloBlog.io стартира: мултиезичен, без реклами и с фокус върху WordPress и open source Критична уязвимост в Modular DS за WordPress се експлоатира активно: какво да провериш и как да се защитиш Критична уязвимост в Modular DS за WordPress се експлоатира активно: какво да провериш и как да се защитиш jQuery 4.0.0: 20 години по-късно библиотеката става по-модерна (и малко по-строга) jQuery 4.0.0: 20 години по-късно библиотеката става по-модерна (и малко по-строга)

Присъединете се към общността на HelloWP!

Разговаряйте с нас за WordPress и уеб разработка и споделяйте опит с други разработчици.

- членове
- онлайн
Присъединяване

Използваме бисквитки, за да подобрим вашето изживяване. Продължавайки, вие се съгласявате с нашата Политика за бисквитки.