- Bug crítico no ACF: plugin estendido do WordPress permite escalonamento arbitrário de funções para administrador
- Cerca de 50.000 sites WordPress estão vulneráveis apesar do patch na versão 0.9.2.2
- Nenhuma exploração relatada ainda, mas os invasores provavelmente investigarão os sites expostos em breve
Cerca de 50.000 WordPress sites estão atualmente em risco de aquisição total do site, devido a uma vulnerabilidade de gravidade crítica que foi descoberta recentemente em um popular plug-in.
Em meados de dezembro de 2025, o Wordfence foi notificado pela pesquisadora de segurança Andrea Bocchetti sobre uma vulnerabilidade em Advanced Custom Fields: Extended, um plugin que adiciona mais recursos ao plugin Advanced Custom Fields (ACF).
O ACF também permite que os usuários adicionem campos personalizados a postagens e páginas e atualmente está sendo usado ativamente por cerca de 100.000 sites WordPress.
Como se manter seguro
Bocchetti disse que o bug decorre de restrições de função que não são aplicadas adequadamente durante a criação ou atualização de usuários baseados em formulários.
“Na versão vulnerável, não há restrições para campos de formulário, portanto a função do usuário pode ser definida arbitrariamente, até mesmo para ‘administrador’, independentemente das configurações do campo, se houver um campo de função adicionado ao formulário”, explicou Wordfence em seu comunicado.
“Como acontece com qualquer vulnerabilidade de escalonamento de privilégios, isso pode ser usado para comprometer completamente o site.”
Em outras palavras, qualquer usuário não autenticado pode se definir como administrador de um site WordPress, essencialmente assumindo o controle do site.
A vulnerabilidade foi descoberta nas versões 0.9.2.1 e anteriores e agora está sendo rastreada como CVE-2025-14533. Foi dada uma pontuação de gravidade de 9,8/10 (crítica).
O lado positivo é que não pode ser explorado facilmente. Os sites precisam usar um formulário ‘Criar usuário’ ou ‘Atualizar usuário’ com um campo de função mapeado.
O bug foi corrigido na versão 0.9.2.2. De acordo com as estatísticas oficiais do WordPress, aproximadamente 50.000 sites já foram atualizados para a versão mais recente, deixando aproximadamente o mesmo número daqueles que ainda estão vulneráveis.
Até o momento, não havia evidências de abuso da falha, mas agora que a notícia está disponível, é seguro presumir que os cibercriminosos começarão pelo menos a investigar vulnerabilidades.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.