10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性：セキュリティニュースアラート

WordPressの人気プラグイン「ACF Extended」に、未認証状態で任意のコードを実行される恐れのある重大な脆弱性が確認された。影響範囲は10万以上のWebサイトに及ぶ可能性があり、早急な更新を呼びかけている。

[後藤大地，ITmedia]

　Wordfenceの脅威インテリジェンスチームは2025年12月2日（現地時間、以下同）、「WordPress」の「Advanced Custom Fields: Extended」（ACF Extended）プラグインに深刻な脆弱（ぜいじゃく）性があることを伝えた。悪用されると未認証状態でリモートから任意のコードが実行されてしまう可能性がある。

　ACF ExtendedはWordPressの「Advanced Custom Fields」プラグインの拡張アドオンとして、フォーム管理機能や追加フィールド機能を提供しているプラグインだ。10万件以上の有効インストールが確認されているプラグインであり、該当バージョンを使用しているWebサイトでは影響を受ける可能性がある。該当プラグインを使用している場合には速やかに最新のバージョンに更新することが望まれる。

深刻度Critical、「ACF Extended」にRCEの脆弱性

　報告された脆弱性は以下の通りだ。

• CVE-2025-13486：　「prepare_form」関数にリモートコード実行の脆弱性が確認された。この関数がユーザー入力を受け付け、「call_user_func_array」に渡すことに起因する。この脆弱性により、認証されていない攻撃者がサーバで任意のコードを実行できるようになり、バックドアの挿入や新しい管理者ユーザーアカウントの作成に悪用される可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアは9.8で深刻度「緊急」（Critical）と評価されており注意が必要

　問題のprepare_form関数ではユーザー入力として与えられた「form[render]」パラメーターを関数名として処理し、call_user_func_array関数経由で実行していた。呼び出し先関数に制限が設けられていない構造で、攻撃者が任意のPHP関数を指定し、付随する引数も操作可能な状態だった。この挙動により、サーバで任意コードの実行が可能になる。

　影響を受けるACF Extendedのバージョンは0.9.0.5〜0.9.1.1とされ、バージョン0.9.2で修正されている。修正版ではprepare_form関数内でユーザー入力を基にした関数呼び出し処理が削除されている。

　Wordfenceの有料サービスである「Wordfence Premium」「Wordfence Care」「Wordfence Response」のユーザーに対し、2025年11月20日に同脆弱性を悪用した攻撃を防ぐためのファイアウォールルールが配信された。無料版のWordfenceを利用しているWebサイトについても、2025年12月20日に同様の防御ルールが配信される予定となっている。