Vulnerabilidade em Mais de 100 mil Sites WordPress
Uma vulnerabilidade crítica foi descoberta no plugin Advanced Custom Fields: Extended, afetando mais de 100 mil sites WordPress. Atualize para a versão corrigida!
Mais de 100,000 Sites WordPress Atingidos por Vulnerabilidade de Elevação de Privilégios no Plugin Advanced Custom Fields: Extended
No dia 10 de dezembro de 2025, recebemos uma denúncia sobre uma vulnerabilidade de Elevação de Privilégios no Advanced Custom Fields: Extended, um plugin WordPress com mais de 100.000 instalações ativas. Essa vulnerabilidade permite que um atacante não autenticado conceda a si mesmo privilégios administrativos ao atualizar a função de usuário em um formulário de ação de usuário onde uma função pode ser selecionada.
Reconhecimento e Resposta Rápida
Agradecemos a Andrea Bocchetti, que descobriu e relatou essa vulnerabilidade de forma responsável através do programa de recompensas por bugs da Wordfence. Este pesquisador recebeu uma recompensa de $975,00 por essa descoberta.
Nossa missão é proteger o WordPress através de uma defesa em profundidade, e por isso, investimos em pesquisa de vulnerabilidades de qualidade e colaboramos com pesquisadores desse calibre. Estamos comprometidos em tornar o ecossistema WordPress mais seguro através da detecção e prevenção de vulnerabilidades, um elemento crítico em nossa abordagem de segurança em múltiplas camadas.
Proteção Imediata para Usuários
Usuários do Wordfence Premium, Wordfence Care e Wordfence Response receberam uma regra de firewall para proteger contra qualquer exploração direcionada a essa vulnerabilidade no dia 11 de dezembro de 2025. Sites que utilizam a versão gratuita do Wordfence receberam a mesma proteção 30 dias depois, em 10 de janeiro de 2026.
Informações Detalhadas sobre a Vulnerabilidade
Fornecemos detalhes completos sobre a vulnerabilidade para a equipe do ACF Extended imediatamente através do nosso Portal de Gerenciamento de Vulnerabilidades da Wordfence no dia 11 de dezembro de 2025. O fornecedor reconheceu o relatório e lançou o patch em 14 de dezembro de 2025. Queremos elogiar a equipe do ACF Extended pela rápida resposta e pelo patch oportuno.
Atualização Necessária
Recomendamos que os usuários atualizem seus sites com a versão corrigida mais recente do Advanced Custom Fields: Extended, versão 0.9.2.2 no momento desta publicação, o quanto antes.
Sumário da Vulnerabilidade
O plugin Advanced Custom Fields: Extended para WordPress é vulnerável à Elevação de Privilégios em todas as versões até, e incluindo, 0.9.2.1. Isso se deve à função ‘insert_user’ que não restringe as funções com as quais um usuário pode se registrar. Isso possibilita que atacantes não autenticados forneçam a função ‘administrador’ durante o registro e ganhem acesso administrativo ao site. Nota: A vulnerabilidade só pode ser explorada se a ‘role’ estiver mapeada para o campo personalizado.
Conclusão
Manter seu site WordPress seguro é essencial para evitar problemas futuros. A vulnerabilidade discutida aqui é um lembrete da importância de atualizações regulares e monitoramento de segurança. Para mais informações sobre como proteger seu site, consulte nossos artigos sobre SEO, criação de sites e tráfego pago.
📰 Fonte Original
Este artigo foi baseado em informações publicadas por Wordfence em 19/01/2026.
🔗 Ler artigo original →
