Platform
wordpress
Component
advanced-members
Opgelost in
1.2.6
1.2.6
CVE-2026-3243 beschrijft een Path Traversal kwetsbaarheid in de Advanced Members for ACF plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat in ernstige gevallen kan leiden tot Remote Code Execution (RCE). De kwetsbaarheid treedt op in versies van de plugin tot en met 1.2.5. Een patch is beschikbaar in versie 1.2.6.
Een succesvolle exploitatie van CVE-2026-3243 kan verstrekkende gevolgen hebben. Aangezien de kwetsbaarheid vereist dat de aanvaller geauthenticeerd is (met Subscriber-level toegang of hoger), is de impact beperkt tot omgevingen waar dergelijke gebruikersrechten bestaan. Echter, het vermogen om willekeurige bestanden te verwijderen, stelt aanvallers in staat om cruciale configuratiebestanden te compromitteren, zoals wp-config.php. Het verwijderen van dit bestand kan leiden tot volledige controle over de WordPress installatie, waardoor de aanvaller toegang kan krijgen tot gevoelige data, de website kan manipuleren en mogelijk zelfs de server kan overnemen. De gedeeltelijke patch in versie 1.2.5 vermindert de impact, maar upgrade naar de volledige fix is essentieel.
Op dit moment is er geen publieke exploitatie van CVE-2026-3243 bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen actieve campagnes gerapporteerd die deze kwetsbaarheid uitbuiten. De publicatie van de CVE op 2026-04-07 geeft aan dat de kwetsbaarheid openbaar bekend is, waardoor de kans op toekomstige exploitatie toeneemt.
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
disclosure
Exploit Status
EPSS
0.22% (45% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-3243 is het updaten van de Advanced Members for ACF plugin naar versie 1.2.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met Subscriber-level toegang. Controleer de bestandsrechten op de server om te zorgen dat alleen de eigenaar lees- en schrijfrechten heeft. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot bestandstoegang buiten de toegestane mappen blokkeren. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te benaderen (dit dient met uiterste voorzichtigheid te gebeuren in een testomgeving).
Update naar versie 1.2.6, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3243 is a Path Traversal vulnerability in the Advanced Members for ACF WordPress plugin, allowing authenticated attackers to delete files.
You are affected if you are using Advanced Members for ACF version 1.2.5 or earlier. Upgrade to 1.2.6 to mitigate the risk.
Upgrade the Advanced Members for ACF plugin to version 1.2.6 or later. Consider restricting file permissions as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.