Sicherheitslücke in WordPress-Plugin ACF Extended ermöglicht Admin-Zugriff

Nicht authentifizierte Rechteausweitung durch Formularfunktion

Am 10. Dezember 2025 ging bei Wordfence Intelligence eine Meldung über eine gravierende Sicherheitslücke in Advanced Custom Fields Extended ein. Das Plugin, das als Erweiterung für Advanced Custom Fields dient, weist in allen Versionen bis einschließlich 0.9.2.1 eine Schwachstelle auf, die eine Privilegieneskalation ohne Authentifizierung ermöglicht.

Die Wurzel des Problems liegt in der Funktion insert_user() der Klasse acfe_module_form_action_user. Diese Funktion verarbeitet Benutzerformularaktionen, schränkt jedoch nicht ein, mit welchen Benutzerrollen sich neue Nutzer registrieren können.

Technischer Hintergrund der Sicherheitslücke

Advanced Custom Fields Extended erweitert das Basis-Plugin um zusätzliche Felder und einen Formular-Manager. Website-Betreiber können Feldgruppen mit Benutzerdaten wie E-Mail-Adresse, Nutzername, Passwort und Rolle erstellen. Für das Rollenfeld existiert in den Feldeinstellungen die Option „Benutzerrolle zulassen“, die eigentlich eine Einschränkung ermöglichen soll.

Anschließend lässt sich ein Formular mit der Aktion „Benutzer erstellen“ anlegen, etwa für ein Registrierungsformular. Hier zeigt sich die Schwachstelle: Obwohl die Feldgruppe Beschränkungen für das Rollenfeld vorsieht, werden diese in der anfälligen Version bei der Formularverarbeitung nicht durchgesetzt.

Ein Angreifer kann bei der Registrierung über ein solches Formular die Rolle beliebig festlegen – einschließlich der Administrator-Rolle. Voraussetzung ist lediglich, dass dem Formular ein Rollenfeld hinzugefügt wurde.

Advanced Custom Fields: Extended <= 0.9.2.1 – Nicht authentifizierte Privilegieneskalation über die Aktion „Benutzerformular einfügen”

Mögliche Angriffsszenarien und Folgen

Mit Administratorzugriff auf eine WordPress-Installation verfügt ein Angreifer über sämtliche Berechtigungen eines regulären Administrators. Dies umfasst unter anderem:

• Upload von Plugin- und Theme-Dateien, die Schadcode oder Backdoors enthalten können
• Manipulation von Beiträgen und Seiten für Weiterleitungen auf Schadseiten
• Einschleusen von Spam-Inhalten
• Vollständige Kontrolle über die Website-Konfiguration

Die Schwachstelle betrifft ausschließlich Websites, auf denen ein Benutzerformular mit der Aktion „Benutzer erstellen“ oder „Benutzer aktualisieren“ samt Rollenfeld implementiert wurde. Solche Konfigurationen dürften eher selten vorkommen, was die Anzahl der praktisch gefährdeten Installationen reduziert.

Patch verfügbar – Update dringend empfohlen

Der Plugin-Entwickler hat die Sicherheitslücke in Version 0.9.2.2 geschlossen. WordPress-Administratoren sollten umgehend prüfen, ob ihre Installation auf die aktuelle Version aktualisiert wurde.

Wordfence hat bereits am 11. Dezember 2025 eine Firewall-Regel für Premium-, Care- und Response-Kunden bereitgestellt. Nutzer der kostenlosen Wordfence-Version erhielten den entsprechenden Schutz 30 Tage später, am 10. Januar 2026.

Aufgrund der kritischen Einstufung der Schwachstelle wird allen Betreibern betroffener Websites ein zeitnahes Update nachdrücklich empfohlen.

Mehr erfahren