WordPressでカスタムフィールド機能を拡張するプラグイン「Advanced Custom Fields: Extended」(※ACFの拡張プラグイン)において、重大なセキュリティ上の問題が確認されました。影響を受けるのは、バージョン 0.9.2.1 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者が、管理者権限を持つアカウントを不正に作成できる可能性があります。ただし、この脆弱性が悪用可能となるのは、プラグインの設定で「ユーザーの役割(role)」がカスタムフィールドとして有効化されている場合に限られます。
対策として、修正されたバージョン 0.9.2.2 以降への更新を強く推奨します。
脆弱性詳細
本脆弱性は、プラグインが提供する「フロントエンドフォーム機能」において、ユーザー登録や更新を行う際に指定される権限(役割)の妥当性を確認する処理が実装されていなかったことに起因します。
本来、新しいユーザーに「管理者」などの強い権限を与える場合、その操作を行う人自身にも相応の権限があるかを確認する必要があります。しかし、この確認が行われていなかったため、フォーム送信時のデータを操作することで、高い権限を持つユーザーが不正に作成される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
サイトの乗っ取り
- 攻撃者が「管理者権限」を持つユーザーとして勝手に登録される
- サイトの設定変更、データの改ざん・削除、不正なプログラムの埋め込みなどが可能となる
これにより、サイト全体に深刻な影響を及ぼす可能性があります。
被害発生の条件
以下の条件に当てはまる場合、被害を受けるリスクがあります。
- 当該プラグインの「フォームモジュール」を使用して、ユーザー登録・更新フォームを作成している
- そのフォームの設定で、「権限(Role)」フィールドがデータ保存対象として割り当てられている
- フォームが一般公開されている場合、ログインしていない第三者からも攻撃を受ける可能性があります
上記の条件を満たさない場合、この脆弱性が悪用されるリスクは大幅に低下します。
技術的な詳細
本脆弱性は、insert_user や update_user アクションを実行する処理において、送信されたリクエストに含まれる「権限ロール」の設定値に対する検証が不足していた点が原因です。
具体的には、administrator(管理者)のような特権ロールが指定された場合でも、実行者に promote_users(ユーザー昇格権限)があるかをチェックする仕組みが欠落していました。
修正版では、ユーザー作成・更新処理の検証段階で、管理者権限への昇格を試みる場合に適切な権限チェックが追加されています。
脆弱性の種類
CWE-269 不適切な特権管理 
(Improper Privilege Management)
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(0.9.2.2 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」一覧を確認してください。
- 見覚えのない「管理者」ユーザーが増えていないか、特に注意して確認してください。
- 作成日時が不自然なユーザーや、覚えのないドメインのメールアドレスが登録されていないか確認してください。
- 特に、プラグインの更新前の期間に作成されたアカウントを重点的に確認してください。
- フォーム設定の確認
- 更新までの間、一時的な回避策として、外部公開しているフォームから「権限(Role)」の設定項目を外すことも検討してください。
⇒不審な管理者アカウントが確認された場合は、直ちにそのアカウントを削除し、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Advanced Custom Fields: Extended 0.9.2.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-14533
(公開日 2026年1月20日 更新日 2026年1月20日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-14533 悪用確率 0.08% (上位77%) 2026年1月23日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Advanced Custom Fields: Extended プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
