{"id":160,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/es\/vulnerabilidad-critica-acf-extended-escalada-privilegios-sin-login\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"vulnerabilidad-critica-acf-extended-escalada-privilegios-sin-login","status":"publish","type":"post","link":"https:\/\/helloblog.io\/es\/vulnerabilidad-critica-acf-extended-escalada-privilegios-sin-login\/","title":{"rendered":"Vulnerabilidad cr\u00edtica en ACF Extended: escalada de privilegios sin login y c\u00f3mo comprobar si te afecta"},"content":{"rendered":"\n

Advanced Custom Fields: Extended (ACF Extended) es un plugin muy popular que ampl\u00eda Advanced Custom Fields con m\u00e1s campos y un gestor de formularios. Precisamente esa parte de formularios es la que ha estado en el foco por una vulnerabilidad cr\u00edtica de Privilege Escalation<\/em> (escalada de privilegios) que, en determinados escenarios, permite a un atacante sin autenticaci\u00f3n<\/strong> asignarse el rol de administrador.<\/p>\n\n\n\n

El aviso se ha publicado tras un reporte responsable y ya existe versi\u00f3n corregida. Aun as\u00ed, merece la pena entender el matiz importante: no todas las instalaciones quedan expuestas por defecto<\/strong>, pero si tienes formularios de creaci\u00f3n\/actualizaci\u00f3n de usuario con el campo de rol mapeado, el impacto puede ser total.<\/p>\n\n\n\n

Qu\u00e9 se ha descubierto exactamente (CVE-2025-14533)<\/h2>\n\n\n\n

Seg\u00fan el an\u00e1lisis publicado por Wordfence, el plugin ACF Extended es vulnerable en versiones hasta 0.9.2.1<\/strong> (incluida) a una escalada de privilegios sin autenticaci\u00f3n, catalogada como cr\u00edtica (CVSS 9.8)<\/strong> y registrada como CVE-2025-14533<\/strong>.<\/p>\n\n\n\n

El problema aparece en el flujo de formularios cuando se usa una acci\u00f3n de tipo \u201cCreate user\u201d<\/strong> (insert_user<\/code>) o \u201cUpdate user\u201d<\/strong> y se permite que un valor de formulario acabe construyendo los argumentos que llegan a wp_insert_user()<\/code>.<\/p>\n\n\n\n

\n\n

Impacto pr\u00e1ctico<\/h4>\n\n\n

Si un atacante consigue enviar role=administrator<\/code> en ese formulario y el sitio lo acepta, obtiene acceso administrativo. Con un usuario admin, el compromiso del sitio puede ser completo (instalaci\u00f3n de plugins\/temas maliciosos, modificaci\u00f3n de contenido, redirecciones, spam, backdoors, etc.).<\/p>\n\n<\/div>\n\n\n\n

Cu\u00e1ndo te afecta de verdad: la condici\u00f3n que lo vuelve explotable<\/h2>\n\n\n\n

Este punto es clave: la explotaci\u00f3n no depende solo de tener el plugin instalado. El escenario cr\u00edtico ocurre cuando el sitio ha montado un formulario de ACF Extended para alta\/gesti\u00f3n de usuarios y, adem\u00e1s, ha mapeado el campo role<\/code><\/strong> (rol) a un campo del formulario\/field group.<\/p>\n\n\n\n

Wordfence menciona expl\u00edcitamente que la vulnerabilidad solo puede explotarse si role<\/code> est\u00e1 mapeado al custom field<\/strong>. Es decir, si no has expuesto el rol en el formulario (o no lo has mapeado), no estar\u00edas en el caso cr\u00edtico descrito.<\/p>\n\n\n\n

Qu\u00e9 fall\u00f3 en el dise\u00f1o: restricciones en el campo vs. restricciones en el formulario<\/h2>\n\n\n\n

ACF Extended permite definir un grupo de campos para datos de usuario (email, username, password y tambi\u00e9n role). Ese campo de rol tiene una opci\u00f3n para restringir roles permitidos (por ejemplo, una configuraci\u00f3n tipo \u201cAllow User Role\u201d). Lo esperable es que el formulario aplique esas mismas restricciones.<\/p>\n\n\n\n

El problema, seg\u00fan el informe, es que en la versi\u00f3n vulnerable el manejo de la acci\u00f3n insert_user<\/code> no restring\u00eda los roles con los que un usuario pod\u00eda registrarse<\/strong>, de modo que un atacante pod\u00eda suministrar un rol elevado (por ejemplo administrator<\/code>) y el sistema lo aceptaba, incluso aunque la interfaz sugiriese restricciones.<\/p>\n\n\n\n

Detalles t\u00e9cnicos a alto nivel (sin perderse en el c\u00f3digo)<\/h2>\n\n\n\n

En la implementaci\u00f3n analizada por Wordfence, el m\u00f3dulo que gestiona acciones de formularios construye un array $args<\/code> recorriendo los valores guardados\/mapeados y lo pasa a wp_insert_user($args)<\/code> cuando la acci\u00f3n es insert_user<\/code>. La debilidad est\u00e1 en que, en versiones afectadas, no se aplica un control efectivo sobre el valor de role<\/code><\/strong> cuando llega desde el formulario.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>