{"id":151,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/da\/kritisk-privilege-escalation-i-acf-extended-cve-2025-14533\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"kritisk-privilege-escalation-i-acf-extended-cve-2025-14533","status":"publish","type":"post","link":"https:\/\/helloblog.io\/da\/kritisk-privilege-escalation-i-acf-extended-cve-2025-14533\/","title":{"rendered":"Kritisk privilege escalation i ACF Extended: s\u00e5dan rammer CVE-2025-14533 din WordPress-l\u00f8sning"},"content":{"rendered":"\n

Hvis du bruger Advanced Custom Fields: Extended<\/strong> (ACF Extended) som addon til Advanced Custom Fields, s\u00e5 er der en vigtig sikkerhedsnyhed: En kritisk privilege escalation<\/strong> (rettighedseskalering) g\u00f8r det muligt for en uautentificeret<\/em> angriber at ende med administrator-adgang<\/strong> \u2013 men kun hvis dit site er sat op p\u00e5 en bestemt m\u00e5de med ACF Extendeds formular-actions.<\/p>\n\n\n\n

S\u00e5rbarheden er registreret som CVE-2025-14533<\/strong> og p\u00e5virker ACF Extended i versioner <= 0.9.2.1<\/strong>. Den er patchet i 0.9.2.2<\/strong>. If\u00f8lge Wordfence har pluginet over 100.000 aktive installationer<\/strong>, s\u00e5 det er en af de fejl, der hurtigt bliver relevant i praksis \u2013 is\u00e6r for bureau-sites med custom forms.<\/p>\n\n\n\n

Hvad er problemet helt konkret?<\/h2>\n\n\n\n

ACF Extended har et form-modul, hvor du kan bygge formularer og koble dem til en action som fx \u201cCreate user\u201d<\/strong> (opret bruger) eller \u201cUpdate user\u201d<\/strong> (opdater bruger). I den s\u00e5rbare version kan en angriber udnytte, at pluginets user-insert flow ikke begr\u00e6nser, hvilken rolle<\/strong> der kan blive sat under registrering, hvis role-feltet er mappet ind i formularen.<\/p>\n\n\n\n

Det centrale er: Hvis din formular tillader, at en v\u00e6rdi for role<\/code> bliver sendt med (og den er mappet til et custom field), kan angriberen supply administrator<\/code> og f\u00e5 oprettet en admin-bruger.<\/p>\n\n\n\n

\n\n

Vigtigt scope<\/h4>\n\n\n

Det er ikke alle sites med ACF Extended, der er reelt eksponerede. Udnyttelsen kr\u00e6ver, at du har en ACF Extended-form med \u201cCreate user\u201d\/\u201cUpdate user\u201d og at role<\/code> er mappet som felt i den formular. Wordfence vurderer, at den ops\u00e6tning sandsynligvis er relativt sj\u00e6lden.<\/p>\n\n<\/div>\n\n\n\n

Hvorfor er det kritisk? (Hvad kan en angriber g\u00f8re som admin)<\/h2>\n\n\n\n

Rettighedseskalering til administrator er i praksis ofte lig med fuldt site-compromise. Med admin-adgang kan en angriber bl.a.:<\/p>\n\n\n\n

    \n\n
  • Installere eller uploade plugins\/temaer (inkl. ondsindede zip-filer med backdoors)<\/li>\n\n\n
  • \u00c6ndre indhold og injicere spam eller redirecte bes\u00f8gende<\/li>\n\n\n
  • Oprette nye brugere og \u201cl\u00e5se\u201d legitime brugere ude<\/li>\n\n\n
  • \u00c6ndre settings, webhooks, integrationsn\u00f8gler og andre driftkritiske konfigurationer<\/li>\n\n<\/ul>\n\n\n\n

    Den tekniske \u00e5rsag: role-validering f\u00f8lger ikke feltets \u201cAllow User Role\u201d-begr\u00e6nsning<\/h2>\n\n\n\n

    ACF Extended lader dig definere et feltgruppe-setup til brugerdata (email, username, password og evt. role). I UI\u2019et findes der en indstilling som \u201cAllow User Role\u201d, der umiddelbart signalerer, at roller kan begr\u00e6nses. Men i den s\u00e5rbare version bliver den begr\u00e6nsning ikke h\u00e5ndh\u00e6vet p\u00e5 form-submit-niveau.<\/p>\n\n\n\n

    Wordfence beskriver, at det handler om pluginets insert_user()<\/code>-flow, hvor der bygges et $args<\/code> array og derefter kaldes wp_insert_user($args)<\/code>. Hvis role<\/code> kan komme med i $args<\/code> uden tilstr\u00e6kkelig whitelist\/validering, bliver WordPress bedt om at oprette brugeren med pr\u00e6cis den rolle.<\/p>\n\n\n\n

    Et forsimplet billede af m\u00f8nsteret<\/h3>\n\n\n\n
    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>