約10萬個WordPress網站使用的ACF Extended外掛，存在高風險漏洞可讓攻擊者取得管理權限

WordPress外掛ACF Extended近日被揭露存在高風險資安漏洞，未經驗證的攻擊者在特定條件下，可能直接建立具備管理員權限的帳號，進而取得完整網站控制權。該漏洞已被編號為CVE-2025-14533，CVSS風險評分高達9.8分，屬於重大（Critical）等級。

ACF Extended定位為補強Advanced Custom Fields功能的WordPress外掛，主要用於協助網站開發者建立自訂內容欄位，並延伸前端表單的應用情境，例如讓訪客或會員透過表單提交內容，甚至進行使用者資料的新增與更新。

後端驗證不足，使用者角色限制可被繞過

CVE-2025-14533漏洞最早由資安研究人員Andrea Bocchetti通報。根據資安媒體Bleeping Computer與WordPress資安公司Wordfence的分析，問題出在ACF Extended處理「新增或更新使用者」的前端表單時，未在後端正確驗證可指派的使用者角色。

即便網站管理者已在外掛設定中，限制前端表單可指派的使用者角色，攻擊者仍可透過自行構造的請求，指定帳號角色為administrator，成功建立或升級為具備最高權限的管理員帳號。Wordfence指出，該漏洞僅在網站實際啟用包含使用者管理欄位的ACF Extended前端表單，且該表單對外開放存取時，才具備可被濫用的條件。

偵察活動升溫，尚未觀測到大規模濫用

雖然目前尚未觀測到針對CVE-2025-14533的實際大規模攻擊行為，但網路流量分析業者GreyNoise指出，透過其感測與流量分析系統觀測，自2025年10月下旬至2026年1月中，出現大規模針對WordPress外掛的偵察行為。

GreyNoise表示，相關活動來自近1,000個IP位址，橫跨145個自治系統編號（ASN），針對超過700款WordPress外掛進行列舉掃描，累計次數逾4萬次，顯示攻擊者仍在進行前期盤點與目標篩選行動。該公司也指出，這類掃描行為未必針對單一漏洞，而是常見於實際攻擊行動前的準備階段。

官方已修補，建議盤點前端使用者管理功能

ACF Extended開發團隊已於去年12月14日發布0.9.2.2版本，修補上述權限提升漏洞。Wordfence建議，仍在使用舊版外掛的網站管理者，應立即更新至0.9.2.2或以上版本，並確認是否有前端表單提供新增或更新使用者帳號的功能，避免該類功能在未妥善控管的情況下對外公開。

Bleeping Computer引述WordPress官方外掛平臺資料指出，目前約有10萬個網站啟用ACF Extended外掛。相較於0.9.2.2版本於12月14日釋出後至今年1月20日期間，僅約5萬次的下載量，顯示仍有相當比例的網站尚未更新至修補版本。

資安業者提醒，凡是涉及使用者角色或權限設定的前端功能，若對外開放存取，皆應視為高風險項目。除定期更新外掛與套件外，也應搭配存取控管、行為監控與最小權限原則，以降低帳號遭冒用及網站遭接管的風險。