Uma vulnerabilidade de segurança classificada como crítica foi descoberta num dos complementos mais populares para a gestão de conteúdos online, colocando em risco milhares de sites. O plugin Advanced Custom Fields: Extended (ACF Extended), que conta com cerca de 100 mil instalações ativas, possui uma brecha que permite a atacantes não autenticados elevarem os seus privilégios para administrador, assumindo o controlo total da plataforma.
A falha de segurança, rastreada como CVE-2025-14533, afeta as versões 0.9.2.1 e anteriores desta ferramenta, que é utilizada por programadores para expandir as capacidades do plugin base ACF no WordPress. A exploração desta vulnerabilidade pode ter consequências devastadoras para a integridade dos sites afetados.
Como funciona a escalada de privilégios
O problema reside na ausência de verificação de permissões durante as ações de formulário conhecidas como "Insert User" e "Update User". Segundo a análise técnica, o plugin não impõe restrições adequadas sobre os papéis (roles) atribuídos durante a criação ou atualização de utilizadores através destes formulários.
Isto significa que, mesmo que um administrador tenha configurado limitações nos campos do formulário, um atacante pode manipular o pedido para definir o seu próprio nível de acesso. Conforme detalhado pela Wordfence, nas versões vulneráveis não existem restrições do lado do servidor para os campos de formulário. Se existir um campo de função (role field) mapeado, o atacante pode definir-se arbitrariamente como "administrador", independentemente das definições visuais do campo.
É importante notar, no entanto, que esta falha apenas é explorável em sites que tenham configurado e publicado explicitamente formulários de criação ou edição de utilizadores com o campo de atribuição de funções ativo. Sites que utilizem o plugin apenas para outras funcionalidades não deverão estar expostos a este vetor de ataque específico.
Correção e panorama de ameaças
A vulnerabilidade foi descoberta pelo investigador de segurança Andrea Bocchetti a 10 de dezembro de 2025. A equipa de desenvolvimento do plugin agiu rapidamente, lançando a versão de correção 0.9.2.2 apenas quatro dias depois. Apesar da disponibilidade da atualização, as estatísticas de download sugerem que cerca de metade da base de utilizadores — aproximadamente 50 mil sites — poderá ainda estar a executar versões desatualizadas e potencialmente vulneráveis.
Embora ainda não tenham sido detetados ataques em massa focados especificamente nesta vulnerabilidade, o cenário de ameaças para plugins desta plataforma continua intenso. Dados da empresa de monitorização GreyNoise indicam uma atividade de reconhecimento em larga escala, com quase 1.000 endereços IP a sondarem mais de 700 plugins diferentes entre o final de 2025 e janeiro de 2026.
Recomenda-se a todos os utilizadores do ACF Extended que verifiquem a versão instalada e procedam à atualização imediata para a versão 0.9.2.2 ou superior, mitigando assim o risco de comprometimento total do site.
Nenhum comentário
Seja o primeiro!