漏洞速览
- 漏洞编号:
CVE-2026-8809 - 风险评分:
9.8(严重) - 首次披露:2026-05-28
- 最近更新:2026-05-28
- 软件类型:插件
- 软件标识:
acf-extended - 受影响版本:<= 0.9.2.5
- 修复版本:0.9.2.6
- 是否已修复:是
漏洞详情
WordPress 插件 Advanced Custom Fields: Extended(版本 0.9.2.5 及以下)存在一处因验证绕过导致的权限提升漏洞。问题出在 aftervalidatesavepost() 函数对攻击者可控的 POST 参数 acfpostid 进行了无条件信任——既没有进行身份验证,也没有进行完整性校验——而是据此选择一个清理分支,该分支会静默丢弃所有非 acfe: 前缀的验证错误。由此,未认证攻击者可借此屏蔽掉 acfefielduserroles::validatefrontvalue() 添加的角色白名单验证错误,以及 acfemoduleformactionuser::validateaction() 添加的管理员权限能力检查错误,使得系统执行 wpinsertuser() 时使用攻击者指定的管理员角色参数,最终创建出一个具有管理员权限的新用户账户。利用此漏洞的前提是目标网站需暴露一个配置了"创建用户"操作并映射了角色字段的公开 ACFE 前端表单。
影响与风险
- 漏洞类型:Unauthenticated Privilege Escalation via Validation Bypass to 'acfpost_id' Parameter
- 风险说明:漏洞可被用于权限提升,低权限账号可能借此获得更高后台控制能力。
- 研究人员:daroo
修复建议
- 按官方建议执行修复:更新至 0.9.2.6 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
