La sicurezza dell’ecosistema WordPress torna al centro dell’attenzione dopo la scoperta di una vulnerabilità potenzialmente devastante all’interno di un plugin utilizzato da sviluppatori e site builder avanzati. Il caso riguarda ACF Extended, un’estensione installata su circa 100.000 siti, che per un periodo ha esposto una parte consistente di questi progetti a un rischio concreto di compromissione totale.
La falla, catalogata come CVE-2025-14533, è stata classificata come critica perché consente a utenti non autenticati di ottenere privilegi amministrativi completi. Un problema di questo tipo non si limita a causare malfunzionamenti, ma apre la porta al controllo completo del sito, dalla modifica dei contenuti fino all’installazione di codice malevolo.
Come funziona la vulnerabilità
Il bug interessa tutte le versioni del plugin fino alla 0.9.2.1 e coinvolge il modulo “Insert User / Update User”, utilizzato per creare o aggiornare account direttamente dal frontend. Alla base del problema c’è una gestione errata delle restrizioni sui ruoli utente.
In pratica, anche quando nelle impostazioni del modulo vengono definite limitazioni precise, un attaccante può aggirarle aggiungendo manualmente un campo “ruolo” al form. In questo modo diventa possibile assegnare arbitrariamente qualsiasi profilo, incluso quello di amministratore, ottenendo così accesso completo al pannello di controllo. Un’escalation di privilegi di questo tipo rende il sito completamente vulnerabile.
Chi è davvero a rischio e cosa è successo dopo
È importante chiarire che non tutti i siti con ACF Extended installato risultano automaticamente esposti. La vulnerabilità è sfruttabile solo nei casi in cui siano attivi moduli di tipo “Create User” o “Update User” con un campo ruolo mappato. Questo riduce la platea effettiva, ma lascia comunque un numero elevato di installazioni in una situazione delicata.
La scoperta è attribuita al ricercatore di sicurezza Andrea Bocchetti, che ha segnalato il problema il 10 dicembre 2025. Il team responsabile del plugin ha reagito rapidamente, rilasciando la versione 0.9.2.2 correttiva dopo appena quattro giorni.
