Uma vulnerabilidade WordPress crítica foi identificada no plugin Advanced Custom Fields: Extended (ACF Extended), colocando em risco milhares de sites. Essa falha permite que hackers obtenham permissões de administrador sem autenticação, explorando páginas remotamente. O plugin, utilizado em mais de 10.000 sites, oferece ferramentas avançadas para desenvolvedores, mas sua vulnerabilidade representa um sério risco à segurança.
Detalhes da Vulnerabilidade CVE-2025-14533
A vulnerabilidade WordPress foi classificada como CVE-2025-14533 e está relacionada ao abuso de privilégios de administrador. O problema ocorre devido à falta de restrições de função durante a criação ou atualização de usuários, mesmo quando limitações são configuradas nos campos. Além disso, a falha afeta as versões 0.9.2.1 e anteriores, permitindo que invasores manipulem o formulário de ação “Insert User / Update User”.
Segundo pesquisadores da Wordfence, as versões vulneráveis do plugin não restringem adequadamente o campo de formulário. Isso possibilita que hackers atribuam papéis de administrador a novos usuários, assumindo o controle total do site. No entanto, essa exploração só é possível em sites que utilizam formulários de criação ou atualização de usuário com um campo “role” mapeado.
Impacto e Atualizações de Segurança
O pesquisador Andrea Bocchetti identificou a falha e reportou ao Wordfence em 10 de dezembro. Em resposta, o desenvolvedor lançou a versão 0.9.2.2 quatro dias depois, corrigindo a vulnerabilidade. Apesar disso, cerca de 50.000 usuários já baixaram o plugin, e muitos ainda podem estar expostos a ataques.
Embora nenhum ataque tenha sido registrado até o momento, empresas como a GreyNoise alertam para campanhas hackers que exploram falhas em plugins WordPress. Entre outubro de 2025 e janeiro de 2026, quase 1.000 IPs atacaram 706 plugins diferentes, demonstrando a necessidade de atualizações constantes.
Como Proteger Seu Site
- Atualize imediatamente para a versão 0.9.2.2 do ACF Extended.
- Revise as permissões de usuário e restrinja o acesso a formulários críticos.
- Utilize plugins de segurança, como o Wordfence, para monitorar ameaças.
Portanto, a vulnerabilidade WordPress no ACF Extended exige atenção imediata. Mantenha seus plugins atualizados e adote medidas de segurança para evitar invasões.