CVE-2026-8809 in Advanced Custom Fields Plugininformação

Sumário

de VulDB • 30/05/2026

O plugin Advanced Custom Fields: Extended para WordPress é vulnerável a Privilege Escalation via Validation Bypass em todas as versões até a 0.9.2.5, inclusive. A vulnerabilidade existe devido à função after_validate_save_post() confiar incondicionalmente no parâmetro POST _acf_post_id controlado pelo atacante — sem autenticação ou verificação de integridade — para selecionar um ramo de limpeza que descarta silenciosamente todos os erros de validação não prefixados com acfe:. Isso permite que atacantes não autenticados suprimam tanto o erro de validação da lista de permissões de função adicionado por acfe_field_user_roles::validate_front_value() quanto o erro de guarda de capacidade da função de administrador adicionado por acfe_module_form_action_user::validate_action(), fazendo com que wp_insert_user() seja executado com um argumento de função de administrador fornecido pelo atacante, resultando na criação de uma nova conta de usuário com nível de administrador. A exploração requer que o site alvo exponha um formulário frontend ACFE público configurado com uma ação Criar Usuário que mapeia um campo de função.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

18/05/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367108

CPE

pronto

EPSS

0.00230

KEV

não

Atividades

baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8809
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8809
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8809/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!