Plugin popular do WordPress permite que hackers invadam 50.000 sites como admin
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Uma vulnerabilidade crítica no plugin Advanced Custom Fields: Extended (ACF Extended), usado no gerenciador de sites WordPress, permite que hackers sem autenticação consigam permissões de administrador, explorando páginas remotamente. Ativo em 10.000 sites, o plugin melhora as capacidades do ACF com ferramentas para desenvolvedores e construção avançada de sites.
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
- O que é WordPress? Tudo sobre o sistema de gerenciamento de sites
A vulnerabilidade foi categorizada como CVE-2025-14533 e está ligada ao abuso de privilégios de admin através do formulário de ação “Insert User / Update User”, nas versões 0.9.2.1 em seguida. O problema fica na falta de aplicação de restrições de função durante a criação ou atualização de usuários, e funciona até mesmo quando limitações são configuradas apropriadamente nos campos de configuração.
Problemas no plugin de WordPress
Segundo os pesquisadores de segurança da empresa Wordfence, responsáveis por descrever a falha, as versões vulneráveis do plugin não restringem o campo de formulário, permitindo escolher o papel de qualquer usuário novo a bel-prazer. Isso pode dar aos hackers a capacidade de tomar total controle dos sites, mas apenas nos que usam, explicitamente, formulários de criação ou atualização de usuário com um campo “role” (papel ou função) mapeado.
O pesquisador que encontrou a vulnerabilidade é Andrea Bocchetti, e reportou a falha ao Wordfence em 10 de dezembro do ano passado. Quatro dias depois, o desenvolvedor do plugin atualizou o ACF Extended para a versão 0.9.2.2, resolvendo a questão. Cerca de 50.000 usuários já baixaram o plugin, segundo o próprio site do WordPress: caso metade deles seja da versão mais atual, o restante ainda pode estar exposto a ataques que exploram a falha.
Embora nenhum ataque que explora a vulnerabilidade tenha sido observado em campo, empresas como a GreyNoise já descreveram campanhas hackers que buscam falhas em massa nos plugins do WordPress para atingir sites suscetíveis. De outubro de 2025 até meados de janeiro deste ano, quase 1.000 IPs de 706 plugins diferentes já passaram por ataques.
Confira também:
- Hackers russos intensificam ataques a instituições do Reino Unido
- Mais 16 extensões maliciosas da campanha hacker GhostPoster foram encontradas
- LastPass alerta para campanha de phishing que rouba senhas mestras de usuários
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]