WordPressのカスタムフィールド機能を拡張し、入力フォームの作成などを行えるプラグイン「Advanced Custom Fields: Extended」(通称 ACF Extended/ACFE)において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 0.9.2.5 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者によって、管理者権限を持つ新しいユーザーアカウントが作成される可能性があります。
対策として、バージョン 0.9.2.6 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、ユーザー作成フォームに備わっていた「権限(ロール)に関する安全確認」が、特定の条件下で処理されなくなる状態にあったことに起因します。
その結果、本来は許可されないはずの管理者権限で、ユーザーが作成され得る状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
権限昇格に関する影響
- 第三者によって、管理者権限を持つ新しいユーザーアカウントが作成される
- 作成された管理者アカウントを通じて、サイトの設定変更・コンテンツの編集・ユーザー管理など、管理画面で行える操作が可能になる
被害が発生する条件
- サイトに、ユーザー作成(新規登録)を行う公開フォームが設置されている
- そのフォームで、作成するユーザーの権限(ロール)を指定する項目が使われている
これらの条件を満たす場合、ログインしていない第三者でも、通常のフォーム送信の操作だけで成立し得ます。
技術的な詳細
このプラグインには、サイト訪問者向けの入力フォームを作る機能があり、その中に「新しいユーザーを作成する」処理を組み込めます。この処理では、作成するユーザーの権限(ロール)を、フォームの入力項目から受け取れるようになっています。
本来、訪問者が自分自身を管理者にできないよう、プラグインは二重の安全確認を行っていました。ひとつは、入力された権限が、あらかじめ許可された一覧の範囲内かどうかの確認です。もうひとつは、管理者権限を付与する場合に、操作した人がその権限を持っているかどうかの確認です。これらの確認に引っかかると、フォームはエラーとして処理を中断します。
ところが、フォーム送信時の検証処理の中に、特定のリクエスト項目に細工した値を含めると、その送信を「内部的な設定保存」と誤って扱ってしまう経路がありました。この経路では、内部用の目印が付いていない検証エラーを、すべて取り除く処理が実行されます。前述の二つの安全確認が出すエラーはこの目印を持たないため、まとめて取り除かれてしまいました。
その結果、本来なら中断されるはずの処理が「検証は成功した」とみなされ、攻撃者が指定した管理者権限でユーザー作成が実行され得る状態でした。さらに、これらの処理経路では、送信した人がログイン済みかどうか・正規の操作かどうかを確認していなかったため、ログインしていない第三者でも成立し得ました。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(0.9.2.6 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」一覧を開き、
権限が「管理者」のアカウント(複数のサイトをまとめて運用している場合は「特権管理者」も)に、身に覚えのないものが含まれていないか確認してください。 - 特に、登録日が新しく、ユーザー名やメールアドレスに心当たりのない管理者アカウントにご注意ください。
- 不審なアカウントが見つかった場合は、該当アカウントを削除し、必要に応じてパスワードなどのログイン情報を見直してください。
- WordPress管理画面の「ユーザー」一覧を開き、
- 追加のセキュリティ対策
- 更新が完了するまでの間は、ユーザー作成と権限指定を行う公開フォームを一時的に停止または非公開にすることで、攻撃の入口をふさげます。
- WAF(Web Application Firewall:不正な通信を遮断する仕組み)の導入も、不正なリクエストを遮断するのに有効です。
⇒不審な管理者アカウントの作成などが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Advanced Custom Fields: Extended 0.9.2.5 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-8809 
(公開日 2026年5月28日 更新日 2026年5月29日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-8809 悪用確率 0.19% (上位59%) 2026年5月30日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Advanced Custom Fields: Extended プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
