Se ha detectado una vulnerabilidad crítica (CVE-2025-14533) en el popular plugin Advanced Custom Fields: Extended para WordPress que afecta a más de 100,000 sitios web. Esta falla permite a atacantes no autenticados obtener acceso con privilegios de administrador explotando la forma en que el plugin gestiona los roles en formularios públicos de registro, con un impacto grave de confidencialidad, integridad y disponibilidad.
CVE y severidad
| ID Vulnerabilidad | Producto | Tipo de vulnerabilidad | Vector de ataque | Puntaje CVSS |
|---|---|---|---|---|
| CVE-2025-14533 | Advanced Custom Fields: Extended (plugin de WordPress) | Escalada de privilegios sin autenticación | Envío malicioso en formulario público con campo de rol asignado | 9.8 (Crítica) |
Productos afectados
Esta vulnerabilidad afecta a versiones del plugin Advanced Custom Fields: Extended hasta la 0.9.2.1 para WordPress.
Solución
Actualizar a la versión 0.9.2.2 del plugin Advanced Custom Fields: Extended.
Recomendaciones
Se recomienda priorizar la actualización inmediata del plugin a la versión corregida para mitigar esta vulnerabilidad. Adicionalmente, revisar y restringir el acceso público a formularios de registro que permitan asignar roles de usuario.