Vulnerabilidade de Execução Remota Atinge 100.000 Sites Word
No dia 18 de novembro de 2025, foi descoberta uma vulnerabilidade crítica no plugin Advanced Custom Fields: Extended, afetando mais de 100.000 sites WordPress. A atualização é urgente!
Vulnerabilidade de Execução Remota de Código Atinge 100.000 Sites WordPress
No dia 18 de novembro de 2025, recebemos uma notificação sobre uma vulnerabilidade de Execução Remota de Código não autenticada no plugin Advanced Custom Fields: Extended, que possui mais de 100.000 instalações ativas. Essa vulnerabilidade pode ser utilizada para executar código remotamente.
Reconhecimento da Descoberta
Um agradecimento especial a dudekmar, que descobriu e relatou essa vulnerabilidade de forma responsável através do Programa de Recompensas de Bugs da Wordfence. Este pesquisador recebeu uma recompensa de $4.290,00 por essa descoberta. Nossa missão é garantir a segurança do WordPress através de uma defesa em profundidade, e por isso investimos em pesquisas de vulnerabilidades de qualidade e colaboramos com pesquisadores dessa magnitude.
Proteção para Usuários
Os usuários do Wordfence Premium, Wordfence Care e Wordfence Response receberam uma regra de firewall para proteger contra qualquer exploração desta vulnerabilidade no dia 20 de novembro de 2025. Os sites que utilizam a versão gratuita do Wordfence terão a mesma proteção 30 dias depois, em 20 de dezembro de 2025.
Divulgação e Resposta
Fornecemos detalhes de divulgação completa à equipe do ACF Extended imediatamente através do Portal de Gerenciamento de Vulnerabilidades da Wordfence no dia 20 de novembro de 2025. O fornecedor lançou o patch no dia seguinte, 21 de novembro de 2025. Gostaríamos de parabenizar a equipe do ACF Extended pela resposta rápida e pelo patch em tempo hábil.
Atualização Recomendada
Recomendamos que os usuários atualizem seus sites com a versão mais recente do Advanced Custom Fields: Extended, versão 0.9.2 no momento desta publicação, o mais rápido possível.
Resumo da Vulnerabilidade
0.9.0.5 – 0.9.1.1
0.9.2
$4.290,00
O plugin Advanced Custom Fields: Extended para WordPress é vulnerável a Execução Remota de Código nas versões 0.9.0.5 a 0.9.1.1 através da função prepare_form(). Isso ocorre porque a função aceita a entrada do usuário e a passa através de call_user_func_array(). Isso possibilita que atacantes não autenticados executem código arbitrário no servidor, o que pode ser utilizado para injetar backdoors ou criar novas contas de usuário administrativas.
Análise Técnica
O Advanced Custom Fields: Extended é um plugin adicional para o plugin Advanced Custom Fields, que adiciona campos, gerenciador de formulários e muito mais.
Funcionamento do Código
A análise do código revela que o plugin utiliza a função prepare_form() na classe acfe_module_form_front_render para renderizar formulários.
function prepare_form($form){
if(!$form){
return false;
}
// valores dos campos
// devemos injetar val...
Consequências da Vulnerabilidade
Essa falha pode levar a situações críticas, como:
- Execução de código malicioso no servidor.
- Injeção de backdoors, permitindo acesso não autorizado.
- Criação de contas administrativas por atacantes.
Recomendações de Segurança
É fundamental que todos os usuários do plugin Advanced Custom Fields: Extended tomem medidas imediatas para atualizar seus sites. A seguir, algumas recomendações adicionais:
- Verifique a versão do seu plugin e atualize para a versão corrigida 0.9.2.
- Monitore regularmente seu site para atividade suspeita.
- Utilize plugins de segurança confiáveis, como o Wordfence.
- Considere implementar um serviço de monitoramento de vulnerabilidades.
Para mais informações sobre segurança em WordPress, acesse nosso artigo sobre segurança em tráfego pago e criação de sites seguros.
📰 Fonte Original
Este artigo foi baseado em informações publicadas por Wordfence em 02/12/2025.
🔗 Ler artigo original →
