Tienduizenden WordPress-sites kwetsbaar door kritiek lek in gebruikte plug-in

In dit artikel:

Tienduizenden WordPress-sites lopen risico door een ernstig lek in de plug-in Advanced Custom Fields: Extended (ACF: Extended). De extensie, die bovenop het veelgebruikte Advanced Custom Fields draait (ACF wordt op meer dan 2 miljoen sites gebruikt), bevat een kwetsbaarheid (CVE-2025-14533) waardoor een niet-ingelogde aanvaller zich onder bepaalde omstandigheden als beheerder kan registreren en volledige controle over een site kan verkrijgen. De ontwikkelaars werden op 11 december ingelicht en brachten op 14 december versie 0.9.2.2 uit waarin het probleem is opgelost; in de release-opmerkingen staat echter alleen vaag dat er een "beveiligingsmaatregel" is toegevoegd. Beveiligingsbedrijf Wordfence merkt op dat misbruik alleen mogelijk is als beheerders specifieke registratie-opties hebben ingeschakeld, wat volgens hen niet wijdverbreid is. Desondanks tonen WordPress.org-cijfers dat nog ongeveer 60.000 sites de patch niet hebben geïnstalleerd. Eigenaren van WordPress-sites met ACF: Extended wordt sterk aangeraden onmiddellijk te updaten en, indien nodig, gebruikersregistratie-instellingen te controleren of uit te schakelen.