Uma vulnerabilidade crítica no plugin Advanced Custom Fields: Extended (ACF Extended) para WordPress permite que atacantes não autenticados obtenham permissões administrativas remotamente.
O ACF Extended, instalado em cerca de 100 mil sites, é uma extensão do plugin Advanced Custom Fields (ACF) que oferece recursos avançados para desenvolvedores e construtores de sites.
Identificada como
CVE-2025-14533
, a falha afeta as versões do ACF Extended até a 0.9.2.1 e permite a elevação de privilégios por meio da ação de formulário “Insert User / Update User”.
O problema ocorre devido à ausência de restrições adequadas sobre os papéis (roles) atribuídos durante a criação ou atualização de usuários via formulário, independentemente das configurações feitas nos campos.
Segundo a Wordfence, “na versão vulnerável, não há restrições para os campos do formulário, permitindo que o papel do usuário seja definido arbitrariamente, inclusive como ‘administrador’, mesmo que as configurações do campo não permitam isso, desde que o campo de papel seja adicionado ao formulário”.
Essa falha representa um risco grave, pois possibilita o controle total do site por meio da escalada de privilégios, alerta a equipe de segurança.
Entretanto, a exploração só é viável em sites que utilizem explicitamente os formulários “Create User” ou “Update User” com o campo role mapeado.
A vulnerabilidade foi descoberta pelo pesquisador Andrea Bocchetti, que, em 10 de dezembro de 2025, reportou o problema à Wordfence para validação e encaminhamento ao desenvolvedor do plugin.
Quatro dias depois, o fornecedor lançou a correção na versão 0.9.2.2 do ACF Extended.
De acordo com estatísticas de downloads no wordpress.org, cerca de 50 mil usuários atualizaram para essa versão corrigida desde então, deixando um número semelhante potencialmente vulnerável.
Até o momento, não há registros de ataques específicos explorando essa falha.
No entanto, a empresa de monitoramento de ameaças GreyNoise identificou uma atividade de reconhecimento em larga escala contra plugins do WordPress, com o objetivo de mapear possíveis vulnerabilidades.
Entre outubro de 2025 e janeiro de 2026, quase 1 mil endereços IP, distribuídos em 145 sistemas autônomos (ASNs), realizaram mais de 40 mil eventos de enumeração em 706 plugins distintos.
Os plugins mais visados incluem Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor e Duplicator.
A Wordfence também reportou exploração ativa da falha
CVE-2025-11833
no Post SMTP em novembro de 2025, com a GreyNoise registrando um esforço concentrado envolvendo 91 IPs.
Outro alerta importante é para a vulnerabilidade
CVE-2024-28000
no LiteSpeed Cache, marcada como explorada ativamente pela Wordfence em agosto de 2024, recomendando a aplicação imediata dos patches.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...