WordPress-sites kwetsbaar door niet updaten van plugin
De plugin voor WordPress genaamd Advanced Custom Fields: Extended kreeg al in december een update nadat een kwetsbaarheid was ontdekt. Met meer dan 100.000 nog altijd actieve installaties is dit een populaire plugin, maar blijkbaar heeft een groot deel daarvan nog niet de noodzakelijke update geïnstalleerd (via Security.nl).
Alle versies tot en met versie 0.9.2.1 zijn kwetsbaar voor privilege-escalatie. Dat betekent dat in bepaalde gevallen, afhankelijk van de instelling, elke gebruiker zich kan registreren als administrator. Zo krijgen ze de volledige controle over de site en kunnen ze de echte eigenaar en administrator de toegang ontzeggen. Volgens de beveiligingsexperten van Wordfence hebben de meeste websites die instellingen niet zo ingeschakeld in het registratieformulier.
Toch kreeg deze kwetsbaarheid een 9,8 op 10 in het register van Common Vulnerabilities and Exposures (CVE). Daar kreeg het de code CVE-2025-14533.
Deze ‘Extended’-plugin is een uitbreiding van het populaire Advanced Custom Fields. Die maakt het mogelijk om met eigen velden te werken en heeft een interface die toelaat om gemakkelijk aanpassingen door te voeren. Contentmanagement wordt er een pak eenvoudiger door. De Extended versie daarvan biedt uiteraard nog meer velden en mogelijkheden.
Versie 0.9.2.2 is al online sinds 14 december, maar toch moet een groot deel van de websites die update nog doorvoeren. Die update kwam er nadat Wordfence de tip over de kwetsbaarheid kreeg van een zekere Andrea Bocchetti. Daar kreeg hij zelfs een beloning voor, aangezien Wordfence een ‘bounty’-programma hanteert. Dankzij die tips die geld opleveren kan Wordfence WordPress veilig houden.
