{"id":154,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/it\/cve-2025-14533-acf-extended-escalation-privilegi-senza-login\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"cve-2025-14533-acf-extended-escalation-privilegi-senza-login","status":"publish","type":"post","link":"https:\/\/helloblog.io\/it\/cve-2025-14533-acf-extended-escalation-privilegi-senza-login\/","title":{"rendered":"CVE-2025-14533 in ACF Extended: escalation dei privilegi senza login (e come mettere in sicurezza i form)"},"content":{"rendered":"\n

Nel mondo WordPress le vulnerabilit\u00e0 che portano a privilege escalation<\/em> (escalation dei privilegi) sono tra le pi\u00f9 pericolose: se un attaccante riesce a trasformarsi in amministratore, il sito \u00e8 sostanzialmente compromesso. A gennaio 2026 Wordfence ha pubblicato un advisory su una falla critica in Advanced Custom Fields: Extended<\/strong> (slug: acf-extended<\/code>), add-on molto diffuso per ACF, con oltre 100.000 installazioni attive<\/strong>.<\/p>\n\n\n\n

La vulnerabilit\u00e0 \u00e8 identificata come CVE-2025-14533<\/strong> (CVSS 9.8<\/strong>, Critical) e riguarda le versioni fino alla 0.9.2.1<\/strong>. Il fix \u00e8 stato rilasciato nella 0.9.2.2<\/strong>.<\/p>\n\n\n\n

Cosa succede: da visitatore anonimo a \u201cadministrator\u201d<\/h2>\n\n\n\n

Il problema nasce dal modo in cui ACF Extended gestisce alcune azioni del suo form manager<\/strong> (la parte che permette di creare form e associarli ad \u201cazioni\u201d come creare\/aggiornare un utente). In particolare, l\u2019azione di tipo Create user<\/strong> (e anche Update user) usa una routine che costruisce gli argomenti per wp_insert_user()<\/code> partendo dai campi del form.<\/p>\n\n\n\n

Nelle versioni vulnerabili, la funzione che prepara i dati non applica in modo efficace una restrizione sui ruoli consentiti. Risultato: se nel mapping dei campi finisce anche un campo role<\/code>, un attaccante pu\u00f2 inviare manualmente administrator<\/code> come valore e ottenere un account con privilegi amministrativi.<\/p>\n\n\n\n

\n\n

Condizione chiave per l\u2019exploit<\/h4>\n\n\n

Secondo l\u2019analisi di Wordfence, l\u2019exploit \u00e8 possibile solo se il campo \u201crole\u201d \u00e8 mappato<\/strong> (cio\u00e8 collegato) a un custom field nel form di creazione\/aggiornamento utente. Senza quel mapping, la criticit\u00e0 \u201creale\u201d per il tuo sito cambia drasticamente.<\/p>\n\n<\/div>\n\n\n\n

Impatto pratico: perch\u00e9 \u00e8 una compromissione completa<\/h2>\n\n\n\n

Quando un attaccante ottiene accesso da amministratore, non si limita a \u201cvedere\u201d il backend: pu\u00f2 installare plugin e temi, caricare file (anche ZIP malevoli), modificare contenuti per fare redirect, iniettare spam o inserire backdoor. In termini operativi, \u00e8 l\u2019equivalente di consegnare le chiavi del sito.<\/p>\n\n\n\n

Dettagli tecnici: dov\u2019\u00e8 il buco<\/h2>\n\n\n\n

Wordfence descrive la causa come una mancata restrizione dei ruoli all\u2019interno della funzione insert_user()<\/code> usata dal modulo che gestisce le azioni utente nei form. In sostanza, l\u2019array di argomenti passato a wp_insert_user()<\/code> pu\u00f2 includere un ruolo arbitrario, se l\u2019input arriva dal form.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>