2026 年 5 月 29 日,国家信息安全漏洞共享平台(CNVD)收录了 WordPress 插件 Advanced Custom Fields Extended(简称 ACF Extended)的一个代码注入漏洞(CVE-2025-15463)。该插件在全球拥有超过 10 万次安装,广泛用于自定义字段扩展。攻击者利用该漏洞可在网站中注入恶意 PHP 代码,导致敏感信息泄露或进一步网站沦陷。官方已在 0.9.2.4 版本中修复。在无法立即升级的情况下,部署 百度云防护 WAF 可利用其 Web 攻击检测规则实时拦截恶意注入流量,提供虚拟补丁级保护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-22364 |
| CVE 编号 | CVE-2025-15463 |
| 危害级别 | 中(CVSS 基础评分:AV:N/AC:L/Au:N/C:P/I:P/A:N) |
| 漏洞类型 | 代码注入(注入型漏洞) |
| 攻击向量 | 网络远程利用 |
| 攻击复杂度 | 低 |
| 所需权限 | 无(但可能需要特定角色?实际描述未明确,CNVD 评分 Au:N 表示无需认证?此处谨慎) |
| 用户交互 | 不需要 |
| 影响产品 | WordPress Advanced Custom Fields Extended 插件 ≤ 0.9.2.3 |
| 安全版本 | 0.9.2.4 及以上 |
| 官方补丁 | https://wordpress.org/plugins/acf-extended/ |
Advanced Custom Fields Extended 是 ACF 插件的一款功能增强扩展,提供额外的字段类型和交互功能。该漏洞可导致攻击者向网站注入恶意代码,影响数据的机密性和完整性。
二、 漏洞原理与危害
2.1 漏洞产生原因
ACF Extended 插件在处理某些用户输入或动态数据时,未对输入内容进行充分的转义或过滤,导致攻击者可以注入任意的 PHP 代码(或 JavaScript 代码)到网站中。当这些代码被服务器执行时,攻击者可以实现:
- 信息泄露:读取数据库配置、用户数据、文件目录。
- 权限提升:在后台执行恶意操作,添加管理员账户。
- 网站篡改:修改页面内容,插入恶意链接或钓鱼表单。
2.2 攻击条件
根据 CNVD 的 CVSS 评分(AV:N/AC:L/Au:N),攻击可能无需认证即可远程利用。但实际细节未完全公开,保守估计至少需要具备投稿者或编辑权限。无论如何,该漏洞风险真实存在。
2.3 危害评估
| 危害类型 | 具体后果 |
|---|---|
| 敏感信息泄露 | 窃取数据库密码、API 密钥、用户隐私 |
| 网站沦陷 | 注入 Webshell,完全控制服务器 |
| SEO 污染 | 植入黑链、色情关键词,导致搜索引擎降权 |
| 恶意跳转 | 将用户重定向至钓鱼或恶意网站 |
三、 修复与防御方案
3.1 立即升级(最彻底)
所有使用 ACF Extended 插件的 WordPress 站点应立即升级至 0.9.2.4 或更高版本。
操作步骤:
- 登录 WordPress 后台 → 插件 → 已安装插件。
- 找到 “Advanced Custom Fields Extended”,点击“立即更新”。
- 更新后测试网站功能是否正常。
3.2 临时缓解措施(无法升级时)
| 措施 | 操作 | 局限性 |
|---|---|---|
| 禁用插件 | 在插件管理页面禁用 ACF Extended | 可能影响依赖该插件的自定义字段功能 |
| 限制访问来源 | 通过防火墙只允许可信 IP 访问后台 | 无法阻止前台注入 |
| 部署 WAF | 使用 Web 应用防火墙拦截恶意请求 | 无业务影响,强烈推荐 |
3.3 部署百度云防护 WAF(虚拟补丁方案)
百度云防护 WAF 内置了 代码注入/命令注入检测规则(规则 ID 4193 Injection.command_inj.A 等),可在网络层实时拦截针对该漏洞的恶意请求。
配置步骤:
- 登录百度云防护控制台,将 WordPress 站点域名接入 WAF。
- 确保 Web 基础防护 策略集为“中级”或“高级”(默认开启)。
- WAF 会自动检测并拦截包含恶意代码注入特征的请求,攻击流量无法到达服务器。
百度云防护的优势:
- ✅ 虚拟补丁:无需修改代码,立即生效。
- ✅ JA4 指纹识别:封杀自动化扫描工具。
- ✅ IP 情报库:阻断代理 IP、恶意 IP。
- ✅ 套餐计费,用完即停:专业版几百元/月,被攻击不欠费。
四、 站长行动指南
| 优先级 | 措施 | 说明 |
|---|---|---|
| 高 | 升级 ACF Extended 至 0.9.2.4 | 从根源修复漏洞 |
| 高 | 部署百度云防护 WAF | 即时获得虚拟补丁,双重保障 |
| 中 | 检查网站是否已被入侵 | 审计后台用户、文件修改时间、异常日志 |
| 低 | 定期备份网站 | 万一被攻击可快速恢复 |
五、 总结
ACF Extended 插件的代码注入漏洞虽被评定为“中危”,但由于其用户量大、利用门槛低,仍需高度重视。官方补丁已发布,请立即升级。对于无法即时升级的生产环境,百度云防护 WAF 提供立即可用的虚拟补丁能力,在网络层精准拦截恶意注入代码。
如果你正在使用 ACF Extended 插件或担心其他 WordPress 插件漏洞,欢迎联系 主机吧。我们提供免费安全评估和百度云防护接入指导。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让代码注入无处遁形,让每一个 WordPress 网站都固若金汤。
