Wtyczka Advanced Custom Fields (ACF) w wersji 3.5.1 i wcześniejszych zawiera podatność Remote File Inclusion (RFI) umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
The WordPress plugin Advanced Custom Fields (ACF) version 3.5.1 and below contains a remote file inclusion (RFI) vulnerability in core/actions/export.php. When the PHP configuration directive allow_url_include is enabled (default: Off), an unauthenticated attacker can exploit the acf_abspath POST parameter to include and execute arbitrary remote PHP code. This leads to remote code execution under the web server’s context, allowing full compromise of the host.
Podatność znajduje się w pliku core/actions/export.php i polega na niekontrolowanym użyciu parametru POST acf_abspath do dołączenia pliku PHP. Jeśli na serwerze włączona jest dyrektywa konfiguracyjna PHP allow_url_include (domyślnie wyłączona), atakujący może podać w parametrze adres URL wskazujący na zdalny, złośliwy plik PHP. Serwer pobiera i wykonuje ten plik w kontekście procesu serwera WWW, co prowadzi do pełnego wykonania dowolnego kodu (RCE). Atak nie wymaga żadnego uwierzytelnienia.
Atakujący może wykonać dowolny kod w kontekście serwera WWW, co w praktyce oznacza pełne przejęcie kontroli nad hostem — włącznie z odczytem i modyfikacją danych, instalacją backdoorów oraz lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować wtyczkę Advanced Custom Fields do wersji wyższej niż 3.5.1 zgodnie z informacjami dostępnymi w repozytorium WordPress. Niezależnie od aktualizacji należy upewnić się, że dyrektywa allow_url_include w konfiguracji PHP jest ustawiona na Off, co eliminuje wektor exploitacji tej konkretnej podatności.
Wtyczka WordPress Advanced Custom Fields (ACF) w wersji 3.5.1 i wszystkich wcześniejszych; podatność jest eksploitowalna wyłącznie gdy dyrektywa PHP allow_url_include jest włączona (domyślnie jest wyłączona).
W referencjach dostępny jest publicznie moduł exploit dla frameworka Metasploit (moduł wp_advanced_custom_fields_exec) oraz wpis w Exploit-DB (EDB-23856), co znacząco obniża próg wejścia dla potencjalnych atakujących. Podatność jest podatnością historyczną (opublikowaną pierwotnie ok. 2012 roku), jednak formalny rekord CVE został opublikowany dopiero 2025-08-05.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X