Uma vulnerabilidade crítica no plugin Advanced Custom Fields: Extended (ACF Extended) para WordPress permite que formulários mal configurados criem contas com privilégios de administrador sem autenticação. O problema, divulgado por análises do Wordfence e confirmado pelo vendor com um patch, tem potencial para comprometer totalmente sites afetados.
Descrição e escopo
O problema, rastreado como CVE-2025-14533, afeta versões do plugin até e incluindo a 0.9.2.1 e recebeu nota CVSS 9.8 (Critical). Segundo a análise pública, o mecanismo que implementa ações de formulário — especificamente a ação insert_user — não aplica a restrição de função configurada pelo administrador do site quando um campo de função (role) está mapeado ao formulário.
Vetor de exploração
Quando um site expõe um formulário de registro ou criação de usuário que mapeia um campo de função, um atacante não autenticado pode enviar uma requisição forjada atribuindo o valor administrator ao campo de função. O plugin passa esses valores diretamente para a função nativa wp_insert_user() sem validar ou filtrar o papel solicitado, resultando na criação de uma conta com privilégios administrativos.
Impacto e alcance
O plugin possui mais de 100.000 instalações ativas, segundo a divulgação — condição que amplia o risco, especialmente em sites que expõem publicamente formulários de criação de usuário. Uma vez com acesso administrativo, o invasor pode instalar plugins maliciosos, alterar temas para inserir backdoors, criar contas adicionais e manter persistência, culminando em comprometimento total do site e possível movimentação lateral em ambientes conectados.
Mitigações e resposta
O fornecedor liberou a versão corrigida 0.9.2.2. O Wordfence também publicou detecções para bloquear tentativas de exploração em perímetros.
- Atualizar imediatamente para ACF Extended 0.9.2.2 em todas as instalações que usem o plugin.
- Revisar formulários públicos que executem ações de criação de usuário e remover ou desativar campos de função expostos.
- Inspecionar logs de auditoria para criação de contas incomuns e procurar novas contas com privilégios elevados.
- Se possível, aplicar WAF/IPS com assinaturas que bloqueiem requisições suspeitas ao endpoint de formulários afetados.
Limitações das informações
Não há, até o momento da publicação, relatos públicos verificados de exploração ativa em larga escala; a cobertura indica a descoberta técnica e a disponibilização de patch. Contudo, a combinação de alta severidade, facilidade de exploração (não requer autenticação) e base de instalação considerável torna este vetor altamente oportunista — ataques automáticos de varredura são plausíveis.
Recomendações executivas (CISO)
Trate a atualização como de alta prioridade em inventários web. Verifique controles compensatórios (restrição de criação de usuário, validação server-side de parâmetros, reviews de configuração de formulários) e planeje uma varredura em massa de endpoints que exponham ações de formulário para detectar pontos vulneráveis. Se o ambiente utiliza integração DevOps, inclua checagens de dependência e políticas de atualização automática para plugins críticos.
Referência
Relatório técnico e detecção pelo Wordfence; correção disponibilizada pelo mantenedor do plugin. Para sites que não possam atualizar imediatamente, desabilitar ou limitar publicamente formulários de usuário reduz o risco até a aplicação do patch.