Advanced Custom Fields: Extended 远程代码执行漏洞(CVE-2025-13486)

北京赛克艾威科技有限公司 2025-12-03


  • 漏洞编号:CVE-2025-13486
  • 漏洞等级:严重
  • 漏洞标签:POC公开、EXP公开、在野利用、关键漏洞
  • 发布时间:2025-12-03

漏洞描述

Advanced Custom Fields: Extended是一款专为WordPress平台开发的插件,用于扩展Advanced Custom Fields\(ACF\)插件的核心功能,提供更灵活的自定义字段管理、前端表单构建和动态内容展示能力,广泛应用于企业网站和内容管理系统中。该插件在0.9.0.5至0.9.1.1版本中存在安全缺陷,prepare\_form\(\)函数未对用户输入进行充分验证和过滤,直接将可控参数传递给call\_user\_func\_array\(\)函数执行。攻击者可通过构造恶意请求向该函数注入任意PHP回调函数和参数,从而在服务器上执行任意代码。成功利用此漏洞可能导致服务器完全被控制,包括植入后门程序、窃取敏感数据或创建高权限管理员账户。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/430846