Se ha descubierto una vulnerabilidad de severidad crítica en el plugin Advanced Custom Fields: Extended para WordPress. Un actor malicioso no autenticado podría escalar privilegios y obtener acceso de administrador en el sitio web afectado.
Productos afectados
- Advanced Custom Fields: Extended: versiones 0.9.2.1 y anteriores
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025–14533: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de gestión incorrecta de privilegios en la función insert_user. Debido a la falta de restricciones en los roles durante el registro, un actor malicioso no autenticado podría asignar el rol de administrador a su cuenta durante el proceso de registro y obtener control total del sitio. Esta vulnerabilidad es explotable si el campo de rol está mapeado en el formulario personalizado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias