Tienduizenden WordPress-sites kwetsbaar door kritiek RCE-lek in plug-in

In dit artikel:

Tienduizenden WordPress-sites zijn kwetsbaar voor overname door een ernstig lek in de plug-in Advanced Custom Fields: Extended (CVE-2025-13486). Onderzoekers van Wordfence ontdekten dat een op afstand aanroepbare functie in de extensie gebruikersinvoer onvoldoende controleert, waardoor ongeauthenticeerde aanvallers remote code execution (RCE) kunnen uitvoeren en zelfs andere WordPress-functies kunnen aanroepen — bijvoorbeeld het aanmaken van een nieuwe administrator. De kwetsbaarheid kreeg een impactscore van 9,8.

De makers van ACF: Extended publiceerden op 21 november versie 0.9.2 met een fix, maar WordPress.org-cijfers laten zien dat meer dan 50.000 sites die update nog niet hebben geïnstalleerd. ACF zelf wordt door ruim twee miljoen sites gebruikt; de kwetsbare uitbreiding draait op meer dan honderdduizend sites. Site-eigenaren wordt dringend aangeraden direct te updaten of de extensie te verwijderen en logs/gebruikersaccounts te controleren.