{"id":133,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/fi\/acf-extended-kriittinen-oikeuksienkorotus-mita-tarkistaa\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"acf-extended-kriittinen-oikeuksienkorotus-mita-tarkistaa","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fi\/acf-extended-kriittinen-oikeuksienkorotus-mita-tarkistaa\/","title":{"rendered":"ACF Extended -lis\u00e4osan kriittinen oikeuksienkorotus: mit\u00e4 pit\u00e4\u00e4 tarkistaa ja miten riski rajataan"},"content":{"rendered":"\n

WordPress-projekteissa ACF (Advanced Custom Fields) ja sen lis\u00e4osat ovat arkip\u00e4iv\u00e4\u00e4, ja siksi kaikki k\u00e4ytt\u00e4j\u00e4hallintaan liittyv\u00e4t lomakeominaisuudet kannattaa katsoa erityisell\u00e4 varovaisuudella. Wordfencen raportin mukaan Advanced Custom Fields: Extended (ACF Extended)<\/strong> -lis\u00e4osasta on l\u00f6ytynyt kriittinen oikeuksienkorotus (Privilege Escalation)<\/strong>, joka koskee versiota 0.9.2.1 ja sit\u00e4 vanhempia<\/strong>.<\/p>\n\n\n\n

Haavoittuvuuden idea on ik\u00e4v\u00e4n suoraviivainen: jos sivustolla on rakennettu k\u00e4ytt\u00e4j\u00e4n luontiin\/p\u00e4ivitykseen liittyv\u00e4 lomaketoiminto niin, ett\u00e4 lomakekentt\u00e4 mapataan k\u00e4ytt\u00e4j\u00e4n rooliin, hy\u00f6kk\u00e4\u00e4j\u00e4 voi manipuloida kent\u00e4n arvon ja asettaa rooliksi esimerkiksi administrator<\/code>.<\/p>\n\n\n\n

Mik\u00e4 on vaikutus ja ket\u00e4 t\u00e4m\u00e4 oikeasti koskee?<\/h2>\n\n\n\n

Wordfencen mukaan lis\u00e4osalla on yli 100 000 aktiivista asennusta<\/strong>, mutta kriittisyydest\u00e4 huolimatta hyv\u00e4ksik\u00e4ytt\u00f6 edellytt\u00e4\u00e4 tietty\u00e4 toteutusta: sivustolle pit\u00e4\u00e4 olla rakennettu ACF Extendedin lomake, jossa k\u00e4ytet\u00e4\u00e4n \u201cCreate user\u201d<\/strong>– tai \u201cUpdate user\u201d<\/strong> -toimintoa ja jossa rooli (role)<\/strong> on mukana kentt\u00e4n\u00e4 ja kytkettyn\u00e4 k\u00e4ytt\u00e4j\u00e4tietojen tallennukseen.<\/p>\n\n\n\n

\n\n

T\u00e4rke\u00e4 rajaus<\/h4>\n\n\n

Haavoittuvuus on Wordfencen kuvauksen mukaan kriittinen erityisesti silloin, kun lomakkeessa on kentt\u00e4, joka mapataan rooliin (role). Jos et k\u00e4yt\u00e4 k\u00e4ytt\u00e4j\u00e4n luontia\/p\u00e4ivityst\u00e4 ACF Extendedin lomakkeilla tai et mapppaa roolia kent\u00e4st\u00e4, hy\u00f6kk\u00e4yspinta on k\u00e4yt\u00e4nn\u00f6ss\u00e4 pienempi.<\/p>\n\n<\/div>\n\n\n\n

Jos hy\u00f6kk\u00e4\u00e4j\u00e4 saa yll\u00e4pit\u00e4j\u00e4n oikeudet, seuraukset ovat samat kuin miss\u00e4 tahansa admin-tason kompromississa: lis\u00e4osien ja teemojen asennus (my\u00f6s haitalliset zipit), asetusten muuttaminen, sis\u00e4lt\u00f6jen manipulointi ja esimerkiksi uudelleenohjaukset tai roskasis\u00e4ll\u00f6n injektointi.<\/p>\n\n\n\n

Mit\u00e4 haavoittuvuudessa tapahtuu teknisesti?<\/h2>\n\n\n\n

ACF Extended on ACF:n p\u00e4\u00e4lle rakennettu lis\u00e4osa, joka tuo mm. lis\u00e4\u00e4 kentti\u00e4 ja form managerin<\/strong> (lomakehallinnan). Wordfencen teknisess\u00e4 analyysiss\u00e4 ongelma liittyy k\u00e4ytt\u00e4j\u00e4n luonnin\/p\u00e4ivityksen polkuun, jossa lomakkeelta ker\u00e4tyt arvot kootaan argumenteiksi ja v\u00e4litet\u00e4\u00e4n lopulta WordPressin k\u00e4ytt\u00e4j\u00e4nluontiin.<\/p>\n\n\n\n

Raportin ydin on, ett\u00e4 insert_user<\/code>-polussa rooli ei ole riitt\u00e4v\u00e4sti rajattu: vaikka kentt\u00e4ryhm\u00e4n puolella olisi ajatus \u201cAllow User Role\u201d -tyyppisest\u00e4 rajoituksesta, lomakkeen kautta tulevaa arvoa ei haavoittuvissa versioissa pakoteta samaan rajoitukseen. T\u00e4ll\u00f6in hy\u00f6kk\u00e4\u00e4j\u00e4 voi l\u00e4hett\u00e4\u00e4 rooliksi administrator<\/code>.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>