WordPressプラグイン「Advanced Custom Fields: Extended」に任意コード実行の脆弱性

WordPressでAdvanced Custom Fieldsを拡張するプラグイン「Advanced Custom Fields: Extended」のバージョン 0.9.0.5 から 0.9.1.1 で、重大なセキュリティ脆弱性が発見されました。

この脆弱性により、認証なしで外部から攻撃者がサーバー上で任意のプログラムコードを実行できる可能性があります。サイトの完全な乗っ取りにつながる恐れがあるため、対策バージョンへの緊急更新を強く推奨します。

想定される事象

想定される被害

この脆弱性により、以下のような被害が想定されます。

管理者アカウントの不正作成
- 攻撃者が新たな管理者権限を持つユーザーアカウントを作成できる
- サイトの設定やコンテンツが改ざんされる可能性がある
バックドアの設置
- サーバー上に不正なプログラム（バックドア）が設置され、継続的に不正アクセスが可能になる
被害発生の条件
- 攻撃に認証は不要（ログインしていない外部からの攻撃が可能）
- プラグインがインストールされている状態であれば攻撃対象となる

技術的な詳細

この脆弱性は、以下の問題に起因します。

外部入力の危険な処理
- プラグイン内のフォーム表示機能（prepare_form関数）において、外部から送信されたデータをそのまま内部処理に使用している
- 本来、外部からの入力は慎重に検証・制限する必要があるが、この確認が行われていなかった
- そのため、攻撃者が特別に細工したリクエストを送ることで、サーバー上で任意のプログラムコードを実行できてしまう
攻撃の流れ（概要）
1. 攻撃者が特別に細工したリクエストを対象サイトに送信
2. リクエストには「実行させたい処理の種類」と「その処理に必要なデータ」の両方が含まれる
3. プラグインは受け取った指定内容を検証せず、そのまま処理を実行してしまう
4. その結果、攻撃者が指定した任意の処理（管理者アカウントの作成、不正ファイルの設置など）が実行される

脆弱性の種類

CWE-94 コード・インジェクション

推奨対応事項

該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。

プラグインの更新（最優先）
- 緊急で、プラグインを対策バージョン（0.9.2以降）に更新してください
被害確認
- WordPress管理画面の「ユーザー」メニューから、身に覚えのない管理者権限ユーザーがいないかチェック
- サーバー上のファイルに、不審なファイル（特にPHPファイル）が追加されていないか確認
- アクセスログで不審なリクエストがないか確認
- 検索キーワード例：「prepare_form」「acfe_module_form」を含むリクエスト
- POST形式のリクエストで、不審なパラメータ（form[render]など）を含むもの
被害が疑われる場合の対応
- 不審なユーザーアカウントを発見した場合は、直ちに削除
- 必要に応じてパスワードの変更を実施

⇒不審な兆候が見られる場合は、WordPressの専門家などへの相談をお勧めします。

影響を受けるバージョン

Advanced Custom Fields: Extended 0.9.0.5 から 0.9.1.1 までのバージョン

脆弱性情報 (CVE-ID)

CVE-2025-13486
（公開日 2025年12月3日更新日 2025年12月3日）

脆弱性の深刻度 (CVSS v3)

基本値: 9.8 (深刻) 　[Wordfence]

脆弱性脅威度(EPSS)

CVE-2025-13486 悪用確率 0.25% （上位52%） 2025年12月4日時点

（今後30日以内に悪用される確率 )

参考　

Advanced Custom Fields: Extended 0.9.0.5 – 0.9.1.1 – Unauthenticated Remote Code Execution in prepare_form

100,000 WordPress Sites Affected by Remote Code Execution Vulnerability in Advanced Custom Fields: Extended WordPress Plugin

ソフトウェア脆弱性情報の著作権に関する注意事項

This record contains material that is subject to copyright.

License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.

License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.

「WordPressセキュリティ保守」をご利用のお客様へ

「Support」、「Technical」、「Customer」、「Service」の文字と技術的なWordPress顧客サポート

WordPress運用保守

さらに詳しく

Advanced Custom Fields: Extended プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。

WordPress プラグイン Advanced Custom Fields: Extended 情報（2025年12月5日取得）

最新版バージョン	0.9.2.1
対象 WordPress バージョン	4.9 またはそれ以降検証済み最新バージョン : 6.9
有効インストール数	100,000+
関連ページ	プラグインページホームページ