У популярному WordPress-плагіні Advanced Custom Fields: Extended (ACF Extended) виявлено критичну уразливість, яка дозволяє неавторизованим зловмисникам отримувати повні адміністративні права. Під загрозою перебувають до 50 000 сайтів, які ще не оновилися до безпечної версії.
Уразливість відстежується під ідентифікатором CVE-2025-14533 і пов’язана з некоректною обробкою дій Insert User / Update User у формах плагіна. Через відсутність жорсткої перевірки ролей атакувальник може довільно призначити новому користувачеві роль administrator, навіть якщо обмеження ролей увімкнені в налаштуваннях.
За даними Wordfence, достатньо лише наявності форми створення або оновлення користувача з полем ролі. У такому сценарії компрометація сайту відбувається без автентифікації, що відкриває шлях до повного контролю над ресурсом — від встановлення бекдорів до розгортання шкідливого коду.
ACF Extended використовується приблизно на 100 000 WordPress-сайтах і активно застосовується розробниками для кастомізації контенту. Уразливість була виявлена дослідником безпеки Andrea Bocchetti 10 грудня 2025 року та передана Wordfence. Уже за чотири дні розробники випустили патч у версії 0.9.2.2.
Втім, аналітика завантажень показує, що близько половини сайтів досі залишаються на вразливих версіях. Паралельно GreyNoise зафіксував масштабну хвилю переліку WordPress-плагінів, що свідчить про активну підготовку до можливих атак.
Попри відсутність підтверджених атак із використанням CVE-2025-14533, ризик залишається критичним. Адміністраторам WordPress-сайтів слід негайно оновити ACF Extended, перевірити наявність підозрілих користувачів і обмежити публічні форми створення акаунтів. Цей кейс ще раз показує, наскільки небезпечними можуть бути плагіни з розширеними можливостями роботи з користувачами.
