{"id":154,"date":"2026-01-19T00:00:00","date_gmt":"2026-01-18T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/sv\/kritisk-privilege-escalation-i-acf-extended-sa-sakrar-du-dina-wordpress-sajter\/"},"modified":"2026-01-19T00:00:00","modified_gmt":"2026-01-18T23:00:00","slug":"kritisk-privilege-escalation-i-acf-extended-sa-sakrar-du-dina-wordpress-sajter","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sv\/kritisk-privilege-escalation-i-acf-extended-sa-sakrar-du-dina-wordpress-sajter\/","title":{"rendered":"Kritisk privilege escalation i ACF Extended: vad som faktiskt \u00e4r drabbat och hur du s\u00e4krar dina WordPress-sajter"},"content":{"rendered":"\n

Om du anv\u00e4nder Advanced Custom Fields: Extended<\/strong> (ofta kallat ACF Extended<\/em> eller ACFE) som addon till Advanced Custom Fields kan du beh\u00f6va agera snabbt. Wordfence har g\u00e5tt ut med en rapport om en kritisk privilege escalation<\/strong> (beh\u00f6righetseskalering) d\u00e4r en oautentiserad angripare kan ge sig sj\u00e4lv administrat\u00f6rsbeh\u00f6righet \u2013 under vissa f\u00f6ruts\u00e4ttningar.<\/p>\n\n\n\n

Det viktiga h\u00e4r \u00e4r att risken inte n\u00f6dv\u00e4ndigtvis g\u00e4ller alla installationer \u201cper automatik\u201d, utan fr\u00e4mst sajter d\u00e4r man byggt frontend-formul\u00e4r<\/strong> i ACFE som kan skapa eller uppdatera anv\u00e4ndare och d\u00e4r en role<\/em>-input \u00e4r kopplad (mappad) till \u00e5tg\u00e4rden. Men eftersom konsekvensen \u00e4r total kompromettering av sajten om den g\u00e5r att utnyttja, \u00e4r patch-niv\u00e5n \u00e4nd\u00e5 n\u00e5got du vill ha koll p\u00e5 omg\u00e5ende.<\/p>\n\n\n\n

\"ACF
ACFE har UI-st\u00f6d f\u00f6r att begr\u00e4nsa vilka roller som f\u00e5r v\u00e4ljas \u2013 men s\u00e5rbarheten handlade om att detta inte uppr\u00e4tth\u00f6lls i formul\u00e4rfl\u00f6det. \u2014 Forr\u00e1s: Wordfence.com<\/em><\/figcaption><\/figure>\n\n\n\n

Vad \u00e4r det som \u00e4r s\u00e5rbart?<\/h2>\n\n\n\n

S\u00e5rbarheten g\u00e4ller pluginet Advanced Custom Fields: Extended<\/strong> i versioner \u2264 0.9.2.1<\/strong> och \u00e4r registrerad som CVE-2025-14533<\/strong> med CVSS 9.8 (Critical)<\/strong>. Enligt Wordfence handlar det om att pluginets hantering av \u201cInsert User\u201d-\u00e5tg\u00e4rden (skapa anv\u00e4ndare) inte begr\u00e4nsar vilka roller som f\u00e5r s\u00e4ttas vid registrering.<\/p>\n\n\n\n

I praktiken betyder det att om din ACFE-form tar emot en parameter\/f\u00e4lt som mappas till role<\/code> kan en angripare skicka in administrator<\/code> och d\u00e4rmed skapa en administrat\u00f6r p\u00e5 sajten utan att vara inloggad.<\/p>\n\n\n\n

\n\n

Det h\u00e4r \u00e4r den avg\u00f6rande f\u00f6ruts\u00e4ttningen<\/h4>\n\n\n

Wordfence noterar att s\u00e5rbarheten bara kan utnyttjas om f\u00e4ltet \u201crole\u201d \u00e4r mappat till ett custom field<\/strong> i formul\u00e4ret. Har du inga ACFE-formul\u00e4r som hanterar anv\u00e4ndare (Create\/Update user) med role-f\u00e4lt, \u00e4r angreppsytan typiskt sett inte densamma.<\/p>\n\n<\/div>\n\n\n\n

Var i fl\u00f6det uppst\u00e5r felet?<\/h2>\n\n\n\n

Tekniskt pekar Wordfence p\u00e5 att ACFE anv\u00e4nder en insert_user()<\/code>-funktion i en modulklass f\u00f6r formul\u00e4r-\u00e5tg\u00e4rder och att argumenten som skickas vidare till WordPress (wp_insert_user<\/code>) kan inneh\u00e5lla roll utan att pluginet stoppar\/whitelistar roller baserat p\u00e5 de begr\u00e4nsningar du satt i UI:t. Resultatet blir en klassisk mismatch mellan \u201cvad UI:t lovar\u201d och \u201cvad servern faktiskt validerar\u201d.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>