Uma vulnerabilidade crítica no plugin Advanced Custom Fields: Extended (ACF Extended), utilizado no gerenciador de sites WordPress, foi identificada, permitindo que hackers sem autenticação consigam permissões de administrador e explorem páginas remotamente. O problema afeta cerca de 10.000 sites ativos que utilizam o plugin, que já foi baixado por aproximadamente 50.000 usuários.
Detalhes da Vulnerabilidade
A falha foi categorizada como CVE-2025-14533 e está relacionada ao abuso de privilégios de administrador através do formulário de ação “Insert User / Update User” nas versões 0.9.2.1 e anteriores. A vulnerabilidade decorre da falta de aplicação de restrições de função durante a criação ou atualização de usuários, permitindo que hackers escolham o papel de qualquer usuário novo.
Identificação e Resolução
A vulnerabilidade foi reportada por Andrea Bocchetti ao Wordfence em 10 de dezembro. Apenas quatro dias depois, em 14 de dezembro, os desenvolvedores do plugin lançaram uma atualização para a versão 0.9.2.2, que corrige a falha.
Risco e Observações
Embora nenhum ataque que explore a vulnerabilidade tenha sido observado até o momento, especialistas em segurança, como a GreyNoise, alertam sobre campanhas hackers que visam falhas em massa nos plugins do WordPress. Entre outubro de 2025 e janeiro deste ano, quase 1.000 IPs de 706 plugins diferentes foram alvo de ataques.
Opinião
A descoberta dessa vulnerabilidade ressalta a importância de manter plugins atualizados e monitorar ativamente a segurança de sites WordPress.
