安全研究
安全漏洞
WordPress Advanced Custom Fields: Extended Plugin远程代码执行漏洞(CVE-2025-13486)
发布日期:2025-12-02
更新日期:2026-06-24
受影响系统:WordPress Advanced Custom Fields: Extended Plugin >= 0.9.0.5 <= 0.9.1.1
描述:
CVE(CAN) ID:
CVE-2025-13486
WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能,WordPress plugin是一个应用插件。
WordPress Advanced Custom Fields: Extended Plugin 0.9.0.5至0.9.1.1版本的“prepare_form()”函数存在远程代码执行漏洞,该漏洞源于该函数接受用户输入并通过call_user_func_array()将其发送,未经身份认证的攻击者可利用该漏洞在服务器上执行任意代码,注入后门或创建新管理用户账户。
<**>
建议:
厂商补丁:
WordPress
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://plugins.trac.wordpress.org/changeset/3400134/acf-extended浏览次数:105
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |