Plataforma
wordpress
Componente
acf-extended
Corregido en
0.9.3
La vulnerabilidad CVE-2025-14533 es una elevación de privilegios que afecta al plugin Advanced Custom Fields: Extended para WordPress. Permite a atacantes no autenticados obtener acceso de administrador al sitio web, explotando una falta de restricción en la asignación de roles durante el registro de usuarios. Esta vulnerabilidad afecta a todas las versiones hasta la 0.9.2.1, y se ha solucionado en la versión 0.9.2.2.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener acceso completo al sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, robar datos confidenciales de usuarios, o incluso tomar el control total del servidor. La vulnerabilidad se basa en la función 'insert_user' que no valida adecuadamente el rol asignado durante el registro. Si el campo 'role' está mapeado a un campo personalizado, un atacante puede inyectar el rol 'administrator' y obtener privilegios elevados. Esta situación es comparable a la explotación de vulnerabilidades de autenticación débiles en otros plugins de WordPress, donde la falta de validación de entrada permite a los atacantes eludir los controles de acceso.
La vulnerabilidad CVE-2025-14533 fue publicada el 20 de enero de 2026. No se ha añadido a la lista KEV de CISA ni se conoce un puntaje EPSS. Actualmente no se han identificado pruebas de concepto (PoC) públicas, pero la naturaleza crítica de la vulnerabilidad y su relativa facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress sites using the Advanced Custom Fields: Extended plugin, particularly those with custom fields configured to manage user roles during registration, are at significant risk. Shared hosting environments where plugin updates are not managed by the user are also particularly vulnerable.
• wordpress / composer / npm:
wp plugin list --status=active | grep 'Advanced Custom Fields: Extended'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status | grep 'Advanced Custom Fields: Extended'• wordpress / composer / npm:
wp option get registration_role• wordpress / composer / npm:
wp user create --role administrator --url=your_wordpress_urldisclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-14533 es actualizar el plugin Advanced Custom Fields: Extended a la versión 0.9.2.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, si no es posible actualizar inmediatamente, desactive el mapeo del campo 'role' a un campo personalizado en la configuración del plugin. Monitoree los registros de WordPress en busca de intentos de registro sospechosos con roles inusuales. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes de registro que contengan el rol 'administrator' en el campo 'role'.
Actualizar a la versión 0.9.2.2, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14533 is a critical vulnerability in the Advanced Custom Fields: Extended WordPress plugin that allows unauthenticated attackers to gain administrator access by exploiting a flaw in user registration role assignment.
You are affected if you are using Advanced Custom Fields: Extended versions 0.0.0 through 0.9.2.1 and have the 'role' custom field mapped to user registration.
Upgrade the Advanced Custom Fields: Extended plugin to version 0.9.2.2 or later. If immediate upgrade is not possible, temporarily disable user registration or restrict roles during registration.
While no public exploit is currently available, the vulnerability's severity and ease of exploitation make it a likely target for malicious actors.
Refer to the official Advanced Custom Fields Extended plugin documentation and WordPress security announcements for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.