{"id":141,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/pl\/krytyczna-eskalacja-uprawnien-acf-extended-formularz-rejestracji-admin\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"krytyczna-eskalacja-uprawnien-acf-extended-formularz-rejestracji-admin","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pl\/krytyczna-eskalacja-uprawnien-acf-extended-formularz-rejestracji-admin\/","title":{"rendered":"Krytyczna eskalacja uprawnie\u0144 w ACF Extended: kiedy formularz rejestracji mo\u017ce da\u0107 atakuj\u0105cemu admina"},"content":{"rendered":"\n

W ekosystemie WordPressa najgro\u017aniejsze s\u0105 te b\u0142\u0119dy, kt\u00f3re nie wymagaj\u0105 logowania, a jednocze\u015bnie ko\u0144cz\u0105 si\u0119 przej\u0119ciem konta z wysokimi uprawnieniami. Dok\u0142adnie z tak\u0105 sytuacj\u0105 mieli\u015bmy do czynienia w dodatku Advanced Custom Fields: Extended<\/strong> (ACF Extended) \u2013 popularnym rozszerzeniu do ACF (Advanced Custom Fields), u\u017cywanym m.in. do budowania formularzy i mapowania p\u00f3l na akcje typu \u201eCreate user\u201d.<\/p>\n\n\n\n

Wed\u0142ug analizy Wordfence podatno\u015b\u0107 pozwala\u0142a niezautoryzowanemu atakuj\u0105cemu<\/strong> uzyska\u0107 eskalacj\u0119 uprawnie\u0144<\/strong> poprzez wymuszenie roli (np. administrator<\/code>) podczas tworzenia u\u017cytkownika w formularzu. Problem zosta\u0142 za\u0142atany \u2013 kluczowe jest jednak to, \u017ce luka by\u0142a wykorzystywalna tylko w okre\u015blonej konfiguracji formularza.<\/p>\n\n\n\n

Kogo dotyczy problem (i dlaczego nie ka\u017cda strona jest \u201eod razu\u201d zagro\u017cona)<\/h2>\n\n\n\n

Podatno\u015b\u0107 obejmuje Advanced Custom Fields: Extended w wersjach \u2264 0.9.2.1<\/strong> i dotyczy scenariusza, w kt\u00f3rym w\u0142a\u015bciciel strony u\u017cywa modu\u0142u formularzy ACF Extended do tworzenia lub aktualizacji u\u017cytkownik\u00f3w. Z technicznego punktu widzenia krytyczne jest to, czy w formularzu istnieje pole mapowane na rol\u0119 u\u017cytkownika<\/strong>.<\/p>\n\n\n\n

\n\n

Warunek wykorzystania luki<\/h4>\n\n\n

Luka by\u0142a mo\u017cliwa do wykorzystania tylko wtedy, gdy w formularzu skonfigurowano mapowanie pola role<\/code> (rola) na dane u\u017cytkownika. Bez takiego mapowania atakuj\u0105cy nie ma \u201euchwytu\u201d, \u017ceby wstrzykn\u0105\u0107 w\u0142asn\u0105 rol\u0119.<\/p>\n\n<\/div>\n\n\n\n

Na czym polega\u0142a eskalacja uprawnie\u0144<\/h2>\n\n\n\n

Sedno problemu: mechanizm obs\u0142ugi akcji \u201einsert user\u201d (tworzenie u\u017cytkownika) w ACF Extended pozwala\u0142 przekaza\u0107 argumenty do wp_insert_user()<\/code> w spos\u00f3b, kt\u00f3ry nie blokowa\u0142 warto\u015bci roli dostarczanej z formularza. Je\u015bli formularz przyjmowa\u0142 (jawnie lub \u201epo\u015brednio\u201d przez mapowanie) parametr roli, to niezalogowany atakuj\u0105cy m\u00f3g\u0142 spr\u00f3bowa\u0107 wys\u0142a\u0107 administrator<\/code> i utworzy\u0107 konto z pe\u0142nymi uprawnieniami.<\/p>\n\n\n\n

Wordfence opisuje, \u017ce logicznie mo\u017cna by oczekiwa\u0107, i\u017c ograniczenia ustawiane przy polu roli (np. \u201eAllow User Role\u201d) b\u0119d\u0105 respektowane r\u00f3wnie\u017c na etapie formularza. W podatnej wersji takie ograniczenia w kontek\u015bcie formularza nie by\u0142y skutecznie egzekwowane \u2013 w efekcie rola mog\u0142a zosta\u0107 ustawiona arbitralnie, o ile pole roli zosta\u0142o dodane do formularza.<\/p>\n\n\n\n

Dlaczego to jest krytyczne (CVSS 9.8) w praktyce<\/h2>\n\n\n\n

Eskalacja do administratora oznacza w WordPressie praktycznie pe\u0142ne przej\u0119cie aplikacji. Po uzyskaniu dost\u0119pu admina atakuj\u0105cy mo\u017ce m.in.:<\/p>\n\n\n\n