10万超のWebサイトに影響か人気プラグインに深刻なRCE脆弱性
Wordfenceの脅威インテリジェンスチームは2025年12月2日(現地時間、以下同)、「WordPress」の「Advanced Custom Fields: Extended」(ACF Extended)プラグインに深刻な脆弱(ぜいじゃく)性があることを伝えた。悪用されると未認証状態でリモートから任意のコードが実行されてしまう可能性がある。
ACF ExtendedはWordPressの「Advanced Custom Fields」プラグインの拡張アドオンとして、フォーム管理機能や追加フィールド機能を提供しているプラグインだ。10万件以上の有効インストールが確認されているプラグインであり、該当バージョンを使用しているWebサイトでは影響を受ける可能性がある。該当プラグインを使用している場合には速やかに最新のバージョンに更新することが望まれる。
深刻度Critical、「ACF Extended」にRCEの脆弱性
報告された脆弱性は以下の通りだ。
- CVE-2025-13486: 「prepare_form」関数にリモートコード実行の脆弱性が確認された。この関数がユーザー入力を受け付け、「call_user_func_array」に渡すことに起因する。この脆弱性により、認証されていない攻撃者がサーバで任意のコードを実行できるようになり、バックドアの挿入や新しい管理者ユーザーアカウントの作成に悪用される可能性がある。共通脆弱性評価システム(CVSS)v3.1のスコアは9.8で深刻度「緊急」(Critical)と評価されており注意が必要
