CVE-2025-13486 - Advanced Custom Fields: Extended 0.9.0.5 - 0.9.1.1 - 未经认证的prepare_form函数远程代码执行
概述
CVSS 3.1 评分: 9.8 (严重)
描述
WordPress的Advanced Custom Fields: Extended插件在0.9.0.5至0.9.1.1版本中存在远程代码执行漏洞,问题源于prepare_form()函数。该函数接受了用户输入并将其传递给call_user_func_array()。这使得未经认证的攻击者有可能在服务器上执行任意代码,从而被利用来注入后门或创建新的管理员用户账户。
受影响产品
以下产品受到CVE-2025-13486漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,该信息也未在下表中显示。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Acfextended | advanced_custom_fields_extended |
总计受影响供应商: 1 | 产品: 1
CVSS 评分
通用漏洞评分系统(CVSS)是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自各来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | security@wordfence.com |
解决方案
更新Advanced Custom Fields: Extended插件到已修复的版本以解决远程代码执行问题。
- 更新Advanced Custom Fields: Extended插件。
- 确保插件版本为0.9.1.2或更高。
- 验证用户输入是否经过净化处理。
- 审查服务器日志中是否有可疑活动。
公开的PoC/漏洞利用
CVE-2025-13486在GitHub上有3个公开的PoC/漏洞利用。请转到"公开漏洞利用"选项卡查看列表。
公告、解决方案和工具参考
这里,您将找到一个精心策划的外部链接列表,这些链接提供与CVE-2025-13486相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://plugins.trac.wordpress.org/changeset/3400134/acf-extended | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/c508cb73-53e6-4ebe-b3d0-285908b722c9?source=cve |
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-13486与以下CWE相关联:
- CWE-94: 代码生成控制不当(‘代码注入’)
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储攻击模式,这些模式描述了对手利用CVE-2025-13486弱点所采用的常见属性和方法。
- CAPEC-35: 在不可执行文件中利用可执行代码
- CAPEC-77: 操作用户控制的变量
- CAPEC-242: 代码注入
GitHub上的公开漏洞利用/PoC
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是已发布在GitHub上的公开漏洞利用和概念验证集合(按最近更新时间排序)。
| 仓库/链接 | 描述 | 主要语言 | 更新于 | 星标 | 分支 | 监视者 | 创建于 | 备注 |
|---|---|---|---|---|---|---|---|---|
| 0xanis/CVE-2025-13486-POC | CVE-2025-13486的POC | Python | 10小时31分钟前 | 0 | 0 | 0 | Dec. 4, 2025, 7:54 a.m. | 此仓库还关联了其他1个不同的CVE。 |
| 0xnemian/CVE-2025-13486.-CVE-2025-13486 | CVE-2025-13486的易受攻击环境设置 - Advanced Custom Fields: Extended - 远程代码执行 | Dockerfile | 12小时20分钟前 | 0 | 0 | 0 | Dec. 4, 2025, 6:18 a.m. | 此仓库还关联了其他1个不同的CVE。 |
| lasthero-887/CVE-2025-13486—Poc | 无 | zero-day | 13小时49分钟前 | 1 | 0 | 0 | Dec. 3, 2025, 5:22 p.m. | 此仓库还关联了其他1个不同的CVE。 |
由于潜在的性能问题,结果限制在前15个仓库。
相关新闻报道
以下列表是在文章中任何地方提及CVE-2025-13486漏洞的新闻。
- security.nl
- 标题: Tienduizenden WordPress-sites kwetsbaar door kritiek RCE-lek in plug-in
- 摘要: 由于所使用的插件中存在严重的安全漏洞,数以万计的WordPress网站面临被攻击者远程控制的风险。安全更新…
- 发布日期: Dec 03, 2025 (1天9小时前)
由于潜在的性能问题,结果限制在前20篇新闻文章。
漏洞时间线
下表列出了CVE-2025-13486漏洞随时间发生的变化。漏洞历史详细信息对于理解漏洞的演变以及识别可能影响漏洞严重性、可利用性或其他特征的最新更改非常有用。
| 事件 | 日期 |
|---|---|
| 收到来自 security@wordfence.com 的新CVE | Dec. 03, 2025 |
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | The Advanced Custom Fields: Extended plugin for WordPress is vulnerable to Remote Code Execution in versions 0.9.0.5 through 0.9.1.1 via the prepare_form() function. This is due to the function accepting user input and then passing that through call_user_func_array(). This makes it possible for unauthenticated attackers to execute arbitrary code on the server, which can be leveraged to inject backdoors or create new administrative user accounts. | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-94 | |
| 添加 | 参考 | https://plugins.trac.wordpress.org/changeset/3400134/acf-extended | |
| 添加 | 参考 | https://www.wordfence.com/threat-intel/vulnerabilities/id/c508cb73-53e6-4ebe-b3d0-285908b722c9?source=cve |
EPSS 分数
EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。
漏洞评分详情
CVSS 3.1
- 基础CVSS分数: 9.8
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 作用范围: 未更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高