WordPress插件ACF Extended近日被披露存在高危安全漏洞，未授权的攻击者在特定条件下可直接创建具有管理员权限的账户，从而完全控制网站。该漏洞已被编号为CVE-2025-14533，CVSS风险评分为9.8分，属于严重（Critical）等级。

ACF Extended是一款用于增强Advanced Custom Fields功能的WordPress插件，主要用于帮助网站开发者创建自定义内容字段，并扩展前端表单的应用场景，例如允许访客或会员通过表单提交内容，甚至进行用户资料的新增与更新。

后端验证不足，用户角色限制可被绕过

CVE-2025-14533漏洞最早由安全研究人员Andrea Bocchetti通报。根据安全媒体Bleeping Computer与WordPress安全公司Wordfence的分析，问题出在ACF Extended处理“新增或更新用户”的前端表单时，未在后端正确验证可分配的用户角色。

即使网站管理员已在插件设置中限制前端表单可分配的用户角色，攻击者仍可通过构造恶意请求，指定账户角色为administrator，成功创建或提升为拥有最高权限的管理员账户。Wordfence指出，该漏洞仅在网站实际启用了包含用户管理字段的ACF Extended前端表单，且该表单对外公开访问时，才具备被利用的条件。

探测活动加剧，尚未观测到大规模利用

尽管目前尚未观测到针对CVE-2025-14533的实际大规模攻击行为，但网络流量分析公司GreyNoise表示，通过其传感器与流量分析系统监测，自2025年10月下旬至2026年1月中旬，出现了大规模针对WordPress插件的探测行为。

GreyNoise指出，相关活动来自近1000个IP地址，横跨145个自治系统编号（ASN），针对超过700款WordPress插件进行扫描，累计次数超过4万次，表明攻击者仍在进行前期侦察与目标筛选。该公司也指出，此类扫描行为未必针对单一漏洞，而是常见于实际攻击行动前的准备阶段。

官方已修复，建议排查前端用户管理功能

ACF Extended开发团队已于2023年12月14日发布0.9.2.2版本，修复了上述权限提升漏洞。Wordfence建议，仍在使用旧版插件的网站管理员，应立即更新至0.9.2.2或更高版本，并确认是否存在前端表单提供新增或更新用户账户的功能，避免此类功能在未妥善管控的情况下对外公开。

Bleeping Computer援引WordPress官方插件平台数据显示，目前约有10万个网站启用了ACF Extended插件。相较0.9.2.2版本于12月14日发布后至今年1月20日期间仅约5万次的下载量，表明仍有相当比例的网站尚未更新至修复版本。

安全公司提醒，凡是涉及用户角色或权限设置的前端功能，若对外公开访问，均应视为高风险项目。除定期更新插件与组件外，还应配合访问控制、行为监控与最小权限原则，以降低账户被盗用及网站被接管的风险。