{"id":149,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/hr\/kriticna-eskalacija-privilegija-acf-extended-registracija-admin-backdoor\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"kriticna-eskalacija-privilegija-acf-extended-registracija-admin-backdoor","status":"publish","type":"post","link":"https:\/\/helloblog.io\/hr\/kriticna-eskalacija-privilegija-acf-extended-registracija-admin-backdoor\/","title":{"rendered":"Kriti\u010dna eskalacija privilegija u ACF Extended: kada registracijska forma mo\u017ee postati admin backdoor"},"content":{"rendered":"\n

WordPress sigurnosni incidenti \u010desto izgledaju isto: jedna \u201emala\u201d postavka u pluginu + javno dostupna forma = potpuna kompromitacija weba. Upravo takav obrazac opisuje ranjivost u pluginu Advanced Custom Fields: Extended<\/strong> (ACF Extended), dodatku za ACF koji donosi naprednija polja i form manager<\/em> (upravljanje formama i akcijama nakon slanja).<\/p>\n\n\n\n

Prema analizi Wordfencea, ranjivost omogu\u0107uje neautentificiranom napada\u010du<\/strong> (dakle bez ra\u010duna i bez prijave) da kroz formu za kreiranje korisnika zada ulogu administrator<\/strong> i time dobije administratorski pristup. Pogo\u0111eno je do 0.9.2.1<\/strong>, a zakrpa je objavljena u 0.9.2.2<\/strong>.<\/p>\n\n\n\n

\u0160to je ranjivo i kada je stvarno opasno<\/h2>\n\n\n\n

Ovo nije \u201esvaki site je odmah probijen\u201d situacija. Kriti\u010dni dio je uvjet za eksploataciju: ranjivost se mo\u017ee iskoristiti samo ako je polje role<\/code> mapirano na custom field u formi<\/strong> (odnosno ako u ACF Extended formi postoji odabir uloge i ta vrijednost zavr\u0161ava u parametrima za kreiranje korisnika).<\/p>\n\n\n\n

Drugim rije\u010dima, rizik je najve\u0107i za siteove koji su preko ACF Extended napravili vlastiti registration flow (npr. \u201eprijavi se kao \u010dlan\/partner\u201d) i pritom izlo\u017eili odabir role ili su nesvjesno dopustili da se role po\u0161alje u requestu.<\/p>\n\n\n\n

\n\n

Brza provjera rizika<\/h4>\n\n\n

Ako koristi\u0161 ACF Extended Form s akcijom \u201eCreate user\u201d ili \u201eUpdate user\u201d i u mapiranju polja ima\u0161 ne\u0161to \u0161to utje\u010de na role<\/code>, tretiraj to kao hitno i a\u017euriraj plugin na 0.9.2.2.<\/p>\n\n<\/div>\n\n\n\n

Kako dolazi do eskalacije privilegija<\/h2>\n\n\n\n

ACF Extended ima mogu\u0107nost da kroz formu kreira korisnika (akcija tipa insert_user<\/code>). U toj akciji plugin skuplja vrijednosti iz form fields i gradi $args<\/code> koji zatim zavr\u0161ava u wp_insert_user($args)<\/code>.<\/p>\n\n\n\n

Problem je u tome \u0161to (u ranjivim verzijama) ne postoji stvarno ograni\u010denje koje bi sprije\u010dilo slanje privilegirane uloge<\/strong>, iako UI\/field group postavke mogu sugerirati da je uloga ograni\u010dena (npr. opcija tipa \u201eAllow User Role\u201d). Ako se role<\/code> mo\u017ee podmetnuti, napada\u010d mo\u017ee poslati administrator<\/code> i dobiti admin ra\u010dun.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>