{"id":140,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/et\/acf-extended-oiguste-tostmine-cve-2025-14533\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"acf-extended-oiguste-tostmine-cve-2025-14533","status":"publish","type":"post","link":"https:\/\/helloblog.io\/et\/acf-extended-oiguste-tostmine-cve-2025-14533\/","title":{"rendered":"ACF Extended kriitiline \u00f5iguste t\u00f5stmise viga: millal on sinu WordPressi sait p\u00e4riselt ohus ja mida teha"},"content":{"rendered":"\n

WordPressi \u00f6kos\u00fcsteemis on vormid, mis loovad kasutajaid<\/em> alati k\u00f5rgema riskiga koht: kui \u00fcks kontroll j\u00e4\u00e4b tegemata, saab r\u00fcndaja panna s\u00fcsteemi tegema midagi, mida ta muidu kunagi teha ei tohiks. Wordfence\u2019i v\u00e4rske teate j\u00e4rgi on Advanced Custom Fields: Extended (tuntud kui ACF Extended<\/strong>, pluginaslug acf-extended<\/code>) tabanud kriitiline \u00f5iguste t\u00f5stmise (privilege escalation) haavatavus, mis m\u00f5jutab k\u00f5iki versioone kuni 0.9.2.1<\/code> (kaasa arvatud) ja on parandatud versioonis 0.9.2.2<\/code>.<\/p>\n\n\n\n

Oluline n\u00fcanss: see ei ole \u201ciga sait on 100% katki\u201d olukord. Ekspluateeritavus s\u00f5ltub v\u00e4ga konkreetsest konfiguratsioonist \u2013 aga kui see konfiguratsioon on olemas, on m\u00f5ju sisuliselt t\u00e4ielik saidi \u00fclev\u00f5tt.<\/p>\n\n\n\n

Mis t\u00e4pselt katki on (ja miks see on kriitiline)?<\/h2>\n\n\n\n

Haavatavuse m\u00f5te on lihtne: ACF Extendedi vormimoodul suudab luua v\u00f5i uuendada WordPressi kasutajaid (\u201cCreate user\u201d \/ \u201cUpdate user\u201d tegevus). Probleem on selles, et kasutaja rolli (role<\/code>) ei piirata piisavalt rangelt hetkel, kui vormi kaudu kasutaja luuakse.<\/p>\n\n\n\n

Wordfence\u2019i anal\u00fc\u00fcsi j\u00e4rgi saab r\u00fcndaja saata registreerimise\/loomise k\u00e4igus rolli v\u00e4\u00e4rtuseks n\u00e4iteks administrator<\/code> ja kui sinu vormi v\u00e4ljade kaardistuses (mapping) on role<\/code> kasutajaandmete hulka seotud, v\u00f5ib WordPress luua kohe admin-\u00f5igustega konto. Kuna r\u00fcndaja ei pea enne autentima, on tegu unauthenticated privilege escalation<\/strong> juhtumiga.<\/p>\n\n\n\n

\n\n

Miks CVSS 9.8?<\/h4>\n\n\n

Kui r\u00fcndaja saab ilma sisselogimiseta endale admin-rolli, on j\u00e4rg tavaliselt l\u00fchike: pahatahtlik plugina\/teema ZIP \u00fcleslaadimine, tagaukse lisamine, sisu muutmine, \u00fcmbersuunamised ja sp\u00e4mm. Seep\u00e4rast on CVSS hinnang Wordfence\u2019i andmetel 9.8 (Critical).<\/p>\n\n<\/div>\n\n\n\n

Keda see reaalselt m\u00f5jutab?<\/h2>\n\n\n\n

ACF Extendedit kasutatakse sageli ACF-i lisana (addon), mis lisab muuhulgas vormihalduri. Wordfence r\u00f5hutab, et kriitiline m\u00f5ju puudutab eelk\u00f5ige neid saite, kus on tehtud j\u00e4rgmine kombinatsioon:<\/p>\n\n\n\n

    \n\n
  1. Saidil on ACF Extended (<= 0.9.2.1).<\/li>\n\n\n
  2. Oled loonud ACF Extendedi vormi, mille tegevus on \u201cCreate user\u201d v\u00f5i \u201cUpdate user\u201d.<\/li>\n\n\n
  3. Vormi v\u00e4ljade kaardistuses on role<\/code> seotud m\u00f5ne vormiv\u00e4ljaga (ehk roll tuleb kasutaja sisendist \/ vormi payload\u2019ist).<\/li>\n\n<\/ol>\n\n\n\n

    Kui ACF Extended on olemas, aga sa ei kasuta selle kaudu kasutajate loomist\/uuendamist (v\u00f5i pole role<\/code> \u00fcldse vormiga seotud), siis r\u00fcndevektorit ei pruugi olla. Samas praktikas on m\u00f5istlik eeldada, et vormikonfiguratsioonid v\u00f5ivad aja jooksul muutuda ja \u201ckeegi tegi kunagi \u00fche admin-vormi testimiseks\u201d on t\u00e4iesti tavaline stsenaarium.<\/p>\n\n\n\n

    Haavatavuse tehniline p\u00f5hjus (arendaja vaatenurk)<\/h2>\n\n\n\n

    Wordfence\u2019i tehnilises kirjelduse j\u00e4rgi kasutatakse ACF Extendedis kasutaja loomisel\/uuendamisel funktsiooni, mis kogub vormi \u201csave\u201d andmed kokku ja annab need edasi wp_insert_user()<\/code> kutsele.<\/p>\n\n\n\n

    Kriitiline koht on rolli k\u00e4sitlemine: kuigi ACF Extendedi v\u00e4ljade konfiguratsioonis on UI tasemel olemas rolli piirang (\u201cAllow User Role\u201d), ei rakendunud haavatavas versioonis sama piirang vormi submit\u2019i ajal. Seega sai r\u00fcndaja sisestada rolliks suvalise v\u00e4\u00e4rtuse, sh administrator<\/code>.<\/p>\n\n\n\n

    \n\n

    Hea turvapraktika meeldetuletus<\/h4>\n\n\n

    UI piirangud (valikud rippmen\u00fc\u00fcs, v\u00e4ljade peitmine jms) ei ole turvameede. Turvalisus peab olema serveripoolses valideerimises \u2013 eriti siis, kui andmeid kasutatakse rolli, \u00f5iguste v\u00f5i muude autoriseerimisotsuste tegemiseks.<\/p>\n\n<\/div>\n\n\n\n

    Mida teha kohe: kontrollnimekiri saidihaldurile<\/h2>\n\n\n\n
      \n\n
    1. Uuenda ACF Extended v\u00e4hemalt versioonile 0.9.2.2<\/code> (Wordfence\u2019i teate j\u00e4rgi on see parandatud v\u00e4ljalase).<\/li>\n\n\n
    2. Kaardista \u00fcle k\u00f5ik ACF Extendedi vormid, millel on \u201cCreate user\u201d v\u00f5i \u201cUpdate user\u201d action.<\/li>\n\n\n
    3. Kontrolli, kas \u00fcksk\u00f5ik millises sellises vormis on role<\/code> \u00fcldse kaardistatud sisendv\u00e4lja k\u00fclge. Kui on, eemalda see v\u00f5i piiritle serveripoolselt lubatud rollid.<\/li>\n\n\n
    4. Kui sul on p\u00e4riselt vaja rolli valida (nt \u201csubscriber\u201d vs \u201ccustomer\u201d), siis k\u00e4sitle seda whitelist\u2019iga ja \u00e4ra lase kunagi kliendilt admin-rolli tulla.<\/li>\n\n\n
    5. Vaata kasutajate nimekiri \u00fcle: otsi hiljutisi ootamatuid admin-kontosid (eriti kui saidil on avatud registreerimine v\u00f5i avalikud vormid).<\/li>\n\n<\/ol>\n\n\n\n

      Wordfence\u2019i kaitse: ajajoon ja mida see t\u00e4hendab<\/h2>\n\n\n\n

      Wordfence\u2019i teate j\u00e4rgi said Wordfence Premium, Care ja Response kasutajad vastava tulem\u00fc\u00fcri (firewall) reegli juba 11. detsembril 2025. Wordfence Free kasutajatele j\u00f5udis sama kaitse 30 p\u00e4eva hiljem, 10. jaanuaril 2026.<\/p>\n\n\n\n

      See on kasulik lisakaitse, aga plugina uuendamist see ei asenda: kui haavatav komponent on saidil alles ja r\u00fcndaja leiab teise tee (v\u00f5i reegel ei kata k\u00f5iki variatsioone), j\u00e4\u00e4b risk alles.<\/p>\n\n\n\n

      Avalikustamise ja paranduse ajajoon (Wordfence\u2019i info p\u00f5hjal)<\/h2>\n\n\n\n
        \n\n
      1. 10.12.2025 \u2013 haavatavus raporteeriti Wordfence Bug Bounty programmi kaudu.<\/li>\n\n\n
      2. 11.12.2025 \u2013 Wordfence valideeris ja kinnitas PoC exploiti; Premium\/Care\/Response said firewall reegli.<\/li>\n\n\n
      3. 11.12.2025 \u2013 detailid edastati tootjale Wordfence Vulnerability Management Portal\u2019i kaudu.<\/li>\n\n\n
      4. 14.12.2025 \u2013 tootja avaldas paranduse ja andis v\u00e4lja ACF Extendedi versiooni 0.9.2.2<\/code>.<\/li>\n\n\n
      5. 10.01.2026 \u2013 Wordfence Free sai firewall kaitse.<\/li>\n\n<\/ol>\n\n\n\n

        Kokkuv\u00f5te<\/h2>\n\n\n\n

        CVE-2025-14533 on hea n\u00e4ide sellest, kuidas \u00fcks \u201cv\u00e4ike\u201d autoriseerimisloogika puuduj\u00e4\u00e4k v\u00f5ib muutuda admin-\u00f5iguste saamiseks ilma autentimiseta \u2013 eeldusel, et saidil on kasutajate loomise\/uuendamise vorm ning roll on vormiv\u00e4ljaga seotud. Parandus on olemas ACF Extendedi versioonis 0.9.2.2<\/code>, seega k\u00f5ige m\u00f5istlikum tegevus on uuendada ning vaadata \u00fcle k\u00f5ik vormid, mis tegelevad kasutajate haldusega.<\/p>\n\n\n\n

        \"ACF
        Rolliv\u00e4lja konfiguratsioonis on olemas piirang (\u201cAllow User Role\u201d), kuid haavatavas versioonis ei rakendunud sama loogika vormi submit\u2019i ajal. \u2014 Forr\u00e1s: Wordfence.com<\/em><\/figcaption><\/figure>\n\n\n\n
        \"ACF
        Kasutaja loomise tegevuse puhul saab v\u00e4ljad kaardistada; kriitiline on, kas role<\/code> on sisendist v\u00f5etav. \u2014 Forr\u00e1s: Wordfence.com<\/em><\/figcaption><\/figure>\n\n\n
        \n

        Viited \/ Allikad<\/h2>\n