WordPress débute l'année avec une vulnérabilité critique à cause d'un plugin : Advanced Custom Fileds : Extended, alias ACF Extended. Des hackers pourraient utiliser une faille pour pouvoir récupérer les droits administrateur même sans être authentifiés. Problème : ce plugin est utilisé par plus de 100 000 sites WordPress.
La vulnérabilité est référencée CVE-2025-14533. La faille vient d'une utilisation abusive de Insert User / Update User sur les versions 0.9.2.1 et antérieures. Il apparait qu'il y a un défaut de restrictions d'actions sur les champs du formulaire... A priori, aucune d'attaque massive n'aurait été exploitée cette faille.
Mettez à jour sans délai avec ACF Extended 0.9.2.2.
Catégorie actualité:
Image actualité AMP:
Espace publicitaire · 300×250