Plugin popular do WordPress permite que hackers invadam 50.000 sites como admin

janeiro 21, 2026
ataques hackers, Atualização de Plugin, Plugin ACF Extended, resumo-2026-01-21, resumo-ai, Segurança de Sites, tecnologia, Vulnerabilidade WordPress

Vulnerabilidade Crítica no Plugin do WordPress

Um plugin popular do WordPress, chamado Advanced Custom Fields: Extended (ACF Extended), foi descoberto com uma vulnerabilidade crítica que permite que hackers sem autenticação consigam permissões de administrador, explorando páginas remotamente. Essa vulnerabilidade, categorizada como CVE-2025-14533, está ligada ao abuso de privilégios de admin através do formulário de ação “Insert User / Update User”, nas versões 0.9.2.1 em diante.

O problema fica na falta de aplicação de restrições de função durante a criação ou atualização de usuários, e funciona até mesmo quando limitações são configuradas apropriadamente nos campos de configuração. Isso pode dar aos hackers a capacidade de tomar total controle dos sites, mas apenas nos que usam, explicitamente, formulários de criação ou atualização de usuário com um campo “role” (papel ou função) mapeado.

Impacto e Solução

Segundo os pesquisadores de segurança da empresa Wordfence, as versões vulneráveis do plugin não restringem o campo de formulário, permitindo escolher o papel de qualquer usuário novo a bel-prazer. Embora nenhum ataque que explora a vulnerabilidade tenha sido observado em campo, empresas como a GreyNoise já descreveram campanhas hackers que buscam falhas em massa nos plugins do WordPress para atingir sites suscetíveis.

O pesquisador que encontrou a vulnerabilidade é Andrea Bocchetti, e reportou a falha ao Wordfence em 10 de dezembro do ano passado. Quatro dias depois, o desenvolvedor do plugin atualizou o ACF Extended para a versão 0.9.2.2, resolvendo a questão. Cerca de 50.000 usuários já baixaram o plugin, segundo o próprio site do WordPress.

Prevenção e Segurança

Para evitar ataques que exploram a vulnerabilidade, é importante manter o plugin atualizado e configurar as limitações de função corretamente. Além disso, é fundamental ter uma política de segurança robusta, incluindo a utilização de

firewalls
antivírus
autenticação de dois fatores

para proteger os sites contra ataques maliciosos.

Em resumo, a vulnerabilidade crítica no plugin ACF Extended do WordPress pode ser explorada por hackers para obter permissões de administrador, mas a atualização para a versão 0.9.2.2 resolve a questão. É fundamental manter os plugins e a política de segurança atualizados para proteger os sites contra ataques maliciosos.

Este conteúdo pode conter links de compra.

Fonte: link