CRITICAL🇬🇧 English

CVE-2012-10025

RFI i RCE w WordPress plugin Advanced Custom Fields (ACF) ≤ 3.5.1

CVSS 10.0v4.0pub. 2025-08-05upd. 2026-04-15

Wtyczka Advanced Custom Fields (ACF) w wersji 3.5.1 i wcześniejszych zawiera podatność Remote File Inclusion (RFI) umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

The WordPress plugin Advanced Custom Fields (ACF) version 3.5.1 and below contains a remote file inclusion (RFI) vulnerability in core/actions/export.php. When the PHP configuration directive allow_url_include is enabled (default: Off), an unauthenticated attacker can exploit the acf_abspath POST parameter to include and execute arbitrary remote PHP code. This leads to remote code execution under the web server’s context, allowing full compromise of the host.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku core/actions/export.php i polega na niekontrolowanym użyciu parametru POST acf_abspath do dołączenia pliku PHP. Jeśli na serwerze włączona jest dyrektywa konfiguracyjna PHP allow_url_include (domyślnie wyłączona), atakujący może podać w parametrze adres URL wskazujący na zdalny, złośliwy plik PHP. Serwer pobiera i wykonuje ten plik w kontekście procesu serwera WWW, co prowadzi do pełnego wykonania dowolnego kodu (RCE). Atak nie wymaga żadnego uwierzytelnienia.

Skutki

Atakujący może wykonać dowolny kod w kontekście serwera WWW, co w praktyce oznacza pełne przejęcie kontroli nad hostem — włącznie z odczytem i modyfikacją danych, instalacją backdoorów oraz lateral movement w sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Advanced Custom Fields do wersji wyższej niż 3.5.1 zgodnie z informacjami dostępnymi w repozytorium WordPress. Niezależnie od aktualizacji należy upewnić się, że dyrektywa allow_url_include w konfiguracji PHP jest ustawiona na Off, co eliminuje wektor exploitacji tej konkretnej podatności.

Kogo dotyczy

Wtyczka WordPress Advanced Custom Fields (ACF) w wersji 3.5.1 i wszystkich wcześniejszych; podatność jest eksploitowalna wyłącznie gdy dyrektywa PHP allow_url_include jest włączona (domyślnie jest wyłączona).

Uwagi

W referencjach dostępny jest publicznie moduł exploit dla frameworka Metasploit (moduł wp_advanced_custom_fields_exec) oraz wpis w Exploit-DB (EDB-23856), co znacząco obniża próg wejścia dla potencjalnych atakujących. Podatność jest podatnością historyczną (opublikowaną pierwotnie ok. 2012 roku), jednak formalny rekord CVE został opublikowany dopiero 2025-08-05.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje