Platform
wordpress
Component
acf-frontend-form-element
Opgelost in
3.28.30
CVE-2025-14736 is a critical Privilege Escalation vulnerability affecting the Frontend Admin plugin by DynamiApps for WordPress. This flaw allows unauthenticated attackers to escalate their privileges to administrator level, granting them complete control over the WordPress site. The vulnerability impacts versions 0.0.0 through 3.28.29, and a fix is available in version 3.28.30.
Deze Privilege Escalation kwetsbaarheid is kritiek omdat een aanvaller zonder authenticatie de mogelijkheid heeft om een administrator account aan te maken. Dit geeft de aanvaller volledige controle over de WordPress website, inclusief de mogelijkheid om bestanden te wijzigen, gebruikersaccounts te beheren, data te stelen en kwaadaardige code uit te voeren. De impact is vergelijkbaar met het verkrijgen van root-toegang op een server. De kwetsbaarheid maakt gebruik van onvoldoende validatie van gebruikersinvoer in de 'validatevalue', 'preupdatevalue' en 'getfields_display' functies, waardoor een aanvaller de rol kan manipuleren tijdens het registratieproces.
Deze kwetsbaarheid is gepubliceerd op 2026-01-09. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of KEV-status op het moment van schrijven. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de kwetsbaarheid is ernstig genoeg om te worden beschouwd als een hoog risico.
WordPress sites utilizing the Frontend Admin plugin, particularly those with publicly accessible user registration forms and legacy configurations, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress: Use wp-cli to check the installed plugin version:
wp plugin list | grep Frontend Admin• wordpress: Examine the wp-config.php file for any unusual configurations related to user roles or registration.
• wordpress: Review WordPress access logs for suspicious user registration attempts with the role set to 'administrator'.
• generic web: Monitor access logs for requests to the user registration endpoint with manipulated Role parameters.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Frontend Admin plugin naar versie 3.28.30 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het uitschakelen van de rol-selectie tijdens het registratieproces. Dit kan worden bereikt door de plugin configuratie aan te passen of door een WordPress filter te implementeren die de rol-selectie uitschakelt. Controleer ook de WordPress logs op verdachte registratie pogingen. Na de upgrade, verifieer de beveiliging door te proberen een account aan te maken met een ongewenste rol.
Update naar versie 3.28.30, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-14736 is a critical vulnerability in the Frontend Admin WordPress plugin allowing unauthenticated attackers to gain administrator privileges.
If you are using Frontend Admin plugin versions 0.0.0 through 3.28.29, you are vulnerable to this privilege escalation attack.
Upgrade the Frontend Admin plugin to version 3.28.30 or later to resolve this vulnerability. Consider temporary mitigations if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target for attackers.
Refer to the DynamiApps website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-14736.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.