CVE-2025-14533: Kritische Sicherheitslücke in WordPress-Plugin "Advanced Custom Fields: Extended"
⚠️ CVE-Referenzen:
CVE-2025-14533
Zusammenfassung
Eine kritische Sicherheitslücke (CVE-2025-14533) mit Einstufung 9.8 wurde im WordPress-Plugin "Advanced Custom Fields: Extended" bis einschließlich Version 0.9.2.1 entdeckt. Unauthentifizierte Angreifer können durch die fehlerhafte Implementierung der "insert_user"-Funktion ihre Berechtigungen auf Administratorstatus eskalieren. Der Patch ist dringend zu empfehlen, um Systeme vor Kompromittierung zu schützen.
The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Privilege Escalation in all versions up to, and including, 0.9.2.1. This is due to the 'insert_user' function not restricting the roles with which a user can register. This makes it possible for unauthenticated attackers to supply the 'administrator' role during registration and gain administrator access to the site. Note: The vulnerability can only be exploited if 'role' is mapped to the custom field.
Quelle: app.opencve.io