CRITICALCVE-2025-14736CVSS 9.8

Frontend Admin by DynamiApps <= 3.28.29 - 通过角色表单字段实现未认证的管理员权限提升

Q: 什么是CVE-2025-14736 — 权限提升漏洞在Frontend Admin中？

CVE-2025-14736是一个关键级别的权限提升漏洞，影响Frontend Admin by DynamiApps WordPress插件的0.0.0–3.28.29版本，允许未经身份验证的攻击者获得管理员权限。

Q: 我是否受到CVE-2025-14736在Frontend Admin中影响？

如果您正在使用Frontend Admin by DynamiApps插件，且版本低于3.28.30，则您可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复CVE-2025-14736在Frontend Admin中？

升级Frontend Admin by DynamiApps插件至3.28.30或更高版本以修复此漏洞。

Q: CVE-2025-14736是否正在被积极利用？

目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易于利用性，存在被恶意利用的风险。

Q: 在哪里可以找到Frontend Admin官方针对CVE-2025-14736的安全公告？

请访问DynamiApps官方网站或WordPress插件目录，查找有关CVE-2025-14736的安全公告。

平台

wordpress

组件

acf-frontend-form-element

修复版本

3.28.30

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14736描述了Frontend Admin by DynamiApps WordPress插件中的一个权限提升漏洞。该漏洞允许未经身份验证的攻击者通过操纵用户注册表单中的角色字段，获得管理员权限，从而完全控制受影响的网站。该漏洞影响Frontend Admin by DynamiApps插件的0.0.0到3.28.29版本，已于3.28.30版本中修复。

影响与攻击场景

该漏洞的影响极其严重，攻击者可以利用它绕过身份验证机制，直接获得网站的最高权限。攻击者可以执行任意代码，修改网站内容，窃取敏感数据，甚至完全控制服务器。由于Frontend Admin插件通常用于管理网站的各种设置和功能，因此该漏洞可能导致整个网站的安全受到威胁。攻击者可以利用此漏洞进行数据泄露、恶意软件植入、网站劫持等活动，对用户和网站运营者造成重大损失。该漏洞的严重性类似于其他WordPress插件权限提升漏洞，可能导致大规模的网站安全事件。

利用背景

该漏洞已公开披露，且CVSS评分为9.8（关键）。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易于利用性，存在被恶意利用的风险。建议密切关注安全社区的动态，并及时采取相应的安全措施。该漏洞尚未被添加到CISA KEV目录。

哪些人处于风险中翻译中…

WordPress sites utilizing the Frontend Admin plugin, particularly those with publicly accessible user registration forms and legacy configurations, are at significant risk. Shared hosting environments where multiple WordPress installations share resources are also vulnerable, as a compromise of one site could potentially impact others.

检测步骤翻译中…

• wordpress: Use wp-cli to check the installed plugin version:

wp plugin list | grep Frontend Admin

• wordpress: Examine the wp-config.php file for any unusual configurations related to user roles or registration. • wordpress: Review WordPress access logs for suspicious user registration attempts with the role set to 'administrator'. • generic web: Monitor access logs for requests to the user registration endpoint with manipulated Role parameters.

攻击时间线

2026-01-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

CVSS 向量

受影响的软件

组件acf-frontend-form-element

供应商wordfence

影响范围修复版本

0.0.0 – 3.28.293.28.30

弱点分类 (CWE)

CWE-269

时间线

已保留2025-12-15
发布日期2026-01-09
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将Frontend Admin by DynamiApps插件升级至3.28.30或更高版本。如果无法立即升级，可以考虑临时禁用Frontend Admin插件，以防止未经授权的访问。此外，建议实施严格的用户权限管理策略，限制用户对敏感数据的访问。对于使用共享主机环境的用户，应密切关注主机提供商的安全公告，并及时采取相应的措施。如果怀疑网站已被入侵，应立即进行安全审计，并采取必要的清理和恢复措施。

修复方法

更新至 3.28.30 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-14736 — 权限提升漏洞在Frontend Admin中？