Plataforma
wordpress
Componente
acf-extended
Corregido en
0.9.2
La vulnerabilidad CVE-2025-13486 es una falla de Ejecución Remota de Código (RCE) que afecta al plugin Advanced Custom Fields: Extended para WordPress. Esta falla permite a atacantes no autenticados ejecutar código arbitrario en el servidor, comprometiendo potencialmente la integridad y confidencialidad de los datos. Las versiones afectadas son 0.9.0.5 hasta 0.9.1.1. Se recomienda actualizar a la versión 0.9.2 para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el servidor WordPress. Esto incluye la capacidad de instalar malware, modificar archivos del sitio web, robar datos confidenciales de la base de datos (como nombres de usuario, contraseñas, información de clientes), y crear nuevas cuentas de administrador. La ejecución de código arbitrario permite una amplia gama de ataques, desde la defacement del sitio web hasta la exfiltración de datos sensibles. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el riesgo, ya que cualquier persona con acceso a la URL vulnerable puede ejecutar código malicioso. Esta vulnerabilidad comparte similitudes con otras fallas de RCE en plugins de WordPress que involucran la manipulación de funciones de llamada a usuario.
CVE-2025-13486 fue publicado el 2 de diciembre de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad (CVSS 9.8) y la facilidad de explotación. No se han reportado campañas de explotación activas a la fecha, pero la falta de autenticación necesaria para explotar la vulnerabilidad aumenta el riesgo de que sea explotada en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Websites utilizing the Advanced Custom Fields: Extended plugin in versions 0.9.0.5 through 0.9.1.1 are at significant risk. Shared hosting environments are particularly vulnerable, as a compromise of one website can potentially impact others on the same server. WordPress installations with default or weak security configurations are also at higher risk.
• wordpress / composer / npm:
grep -r 'call_user_func_array' /var/www/html/wp-content/plugins/advanced-custom-fields-extended/• wordpress / composer / npm:
wp plugin list | grep 'advanced-custom-fields-extended'• wordpress / composer / npm:
wp plugin update advanced-custom-fields-extended• generic web: Check WordPress plugin directory for mentions of the vulnerability and potential exploit attempts. • generic web: Review WordPress access and error logs for suspicious activity related to the plugin.
disclosure
Estado del Exploit
EPSS
74.90% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13486 es actualizar el plugin Advanced Custom Fields: Extended a la versión 0.9.2 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización causa problemas de compatibilidad con otros plugins o temas, considere realizar una copia de seguridad completa del sitio web antes de actualizar y probar la actualización en un entorno de pruebas. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones maliciosos en la función prepare_form(). Revise los registros del servidor en busca de intentos de explotación y configure alertas para detectar patrones sospechosos. No hay firmas Sigma o YARA específicas disponibles actualmente, pero se recomienda monitorear el tráfico de red en busca de solicitudes inusuales dirigidas al plugin.
Actualizar a la versión 0.9.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13486 is a critical Remote Code Execution vulnerability in the Advanced Custom Fields: Extended WordPress plugin, allowing attackers to execute arbitrary code on the server.
You are affected if you are using Advanced Custom Fields: Extended versions 0.9.0.5 through 0.9.1.1. Check your plugin version immediately.
Upgrade the Advanced Custom Fields: Extended plugin to version 0.9.2 or later to resolve the vulnerability. Disable the plugin if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the vulnerability's severity makes it a likely target. Monitor your systems closely.
Refer to the official Advanced Custom Fields: Extended plugin website and WordPress.org plugin repository for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.