- Falha crítica no ACF: plugin estendido do WordPress permite que o administrador escale funções arbitrárias
- Cerca de 50.000 sites WordPress estão vulneráveis, apesar do patch na versão 0.9.2.2
- Nenhuma exploração foi relatada ainda, mas é provável que os invasores investiguem em breve os sites expostos
Cerca de 50.000 sites WordPress estão atualmente em risco de aquisição total do site devido a uma vulnerabilidade crítica recém-descoberta em um plug-in popular.
Em meados de dezembro de 2025, a pesquisadora de segurança Andrea Bocchetti informou ao Wordfence sobre uma vulnerabilidade em Advanced Custom Fields: Extended, um plugin que adiciona mais recursos ao plugin Advanced Custom Fields (ACF).
O ACF permite que os usuários adicionem campos personalizados a postagens e páginas e atualmente está sendo usado ativamente por cerca de 100.000 sites WordPress.
Como se manter seguro
Bocchetti disse que o bug decorre de restrições de funções que não são aplicadas adequadamente durante a criação ou atualizações de usuários baseados em formulários.
“Na versão vulnerável, não há restrições nos campos do formulário, portanto a função do usuário pode ser definida arbitrariamente, incluindo ‘administrador’, independentemente das configurações do campo, se um campo de função for adicionado ao formulário”, explicou o Wordfence em seu comunicado.
“Como acontece com qualquer vulnerabilidade de elevação de privilégio, isso pode ser usado para comprometer todo o site.”
Em outras palavras, qualquer usuário não autenticado pode se configurar como administrador de um site WordPress, essencialmente assumindo o controle do site.
A vulnerabilidade foi descoberta nas versões 0.9.2.1 e anteriores e agora está sendo rastreada como CVE-2025-14533. Foi dada uma pontuação de gravidade de 9,8/10 (crítica).
O lado positivo é que não pode ser facilmente explorado. Os sites devem usar o formulário “Criar usuário” ou “Atualizar usuário” com um campo de função mapeado.
O bug foi corrigido na versão 0.9.2.2. De acordo com estatísticas oficiais do WordPress, cerca de 50.000 sites já foram atualizados para a versão mais recente, deixando aproximadamente o mesmo número ainda vulnerável.
Até o momento, não havia evidências de que o bug estivesse sendo explorado, mas agora que a notícia foi divulgada, é seguro dizer que os cibercriminosos pelo menos começarão a investigar as vulnerabilidades.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
