概要
2026年1月20日、WordPressの人気プラグイン「Advanced Custom Fields: Extended (ACF Extended)」に管理者権限の取得につながる深刻な脆弱性(CVE-2025-14533)が発見されたことが報じられました。この脆弱性を悪用されると、認証されていない攻撃者がリモートから管理者権限を取得し、対象のサイトを完全に掌握する恐れがあります。
脆弱性の詳細
ACF Extendedは、Advanced Custom Fields (ACF) プラグインの機能を拡張するもので、現在10万以上のWordPressウェブサイトで利用されています。今回の脆弱性は、バージョン0.9.2.1以前のプラグインに存在し、「Insert User / Update User」フォームアクションの悪用によって引き起こされます。
セキュリティ企業Wordfenceの分析によると、この脆弱性はフォームベースのユーザー作成または更新時に、役割の制限が適切に適用されないことに起因します。フィールド設定で役割の制限が適切に設定されていたとしても、攻撃者はユーザーの役割を任意に「administrator」(管理者)に設定することが可能になります。
Wordfenceは、「脆弱なバージョンでは、フォームフィールドに制限がなく、フォームに役割フィールドが追加されている場合、フィールド設定に関わらず、ユーザーの役割を任意に、例えば『administrator』に設定できてしまう」と説明しています。このような権限昇格の脆弱性は、サイトの完全な侵害につながる可能性があるため、極めて危険です。
影響範囲と対策
この脆弱性は、「Create User」または「Update User」フォームに役割フィールドが明示的にマッピングされているサイトでのみ悪用可能です。セキュリティ研究者のAndrea Bocchetti氏によって2025年12月10日に報告され、4日後の12月14日にはベンダーが問題に対処し、ACF Extendedバージョン0.9.2.2で修正版がリリースされました。
wordpress.orgのダウンロード統計によると、修正版リリース以降、約50,000人のユーザーがプラグインをダウンロードしています。これは、約半数のサイトがまだ古いバージョンを使用しており、攻撃に晒されている可能性があることを示唆しています。対象プラグインを使用しているWordPressサイト管理者は、直ちにバージョン0.9.2.2以降へのアップデートが強く推奨されます。
広範なWordPressプラグイン偵察活動
CVE-2025-14533を標的とした具体的な攻撃はまだ確認されていませんが、脅威監視企業GreyNoiseの報告によると、2025年10月下旬から2026年1月中旬にかけて、潜在的に脆弱なサイトを特定するための大規模なWordPressプラグイン偵察活動が展開されています。
GreyNoiseによれば、145のASN(自律システム番号)に属する約1,000のIPアドレスが、40,000件以上のユニークな偵察イベントで706種類のWordPressプラグインを標的にしました。特に標的とされたプラグインは以下の通りです。
- Post SMTP
- Loginizer
- LiteSpeed Cache
- SEO by Rank Math
- Elementor
- Duplicator
GreyNoiseは、Post SMTPの脆弱性(CVE-2025-11833)が活発に悪用されていることを指摘しており、またLiteSpeed Cacheの脆弱性(CVE-2024-28000)も2024年8月にWordfenceによって活発に悪用されていると報告されています。WordPressサイトの管理者は、自身のサイトで使用しているプラグインの脆弱性情報に常に注意を払い、最新のセキュリティパッチを適用することで、サイトを保護することが不可欠です。