- Bug kritis di ACF: Plugin WordPress yang diperluas memungkinkan peningkatan peran sewenang-wenang ke administrator
- Sekitar 50.000 situs WordPress rentan meskipun ada patch di versi 0.9.2.2
- Belum ada laporan eksploitasi, namun penyerang kemungkinan besar akan segera menyelidiki situs yang terekspos
Sekitar 50.000 WordPress situs web saat ini berisiko pengambilalihan situs secara penuh, karena kerentanan tingkat kritis yang baru-baru ini ditemukan di situs populer plugin.
Pada pertengahan Desember 2025, Wordfence diberitahu oleh peneliti keamanan Andrea Bocchetti tentang kerentanan di Bidang Kustom Tingkat Lanjut: Diperluas, sebuah plugin yang menambahkan lebih banyak fitur ke plugin Bidang Kustom Tingkat Lanjut (ACF).
ACF juga memungkinkan pengguna menambahkan kolom khusus ke postingan dan halaman, dan saat ini aktif digunakan oleh sekitar 100.000 situs WordPress.
Bagaimana agar tetap aman
Bocchetti mengatakan bahwa bug tersebut berasal dari pembatasan peran yang tidak diterapkan dengan benar selama pembuatan atau pembaruan pengguna berbasis formulir.
“Dalam versi rentan, tidak ada batasan untuk bidang formulir, sehingga peran pengguna dapat diatur secara sewenang-wenang, bahkan menjadi ‘administrator’, apa pun pengaturan bidangnya, jika ada bidang peran yang ditambahkan ke formulir,” jelas Wordfence dalam penasehatnya.
“Seperti halnya kerentanan eskalasi hak istimewa lainnya, kerentanan ini dapat digunakan untuk menyusupi situs sepenuhnya.”
Dengan kata lain, setiap pengguna yang tidak diautentikasi dapat menetapkan dirinya sebagai admin untuk situs WordPress, yang pada dasarnya mengambil alih situs tersebut.
Kerentanan ditemukan pada versi 0.9.2.1 dan sebelumnya dan sekarang dilacak sebagai CVE-2025-14533. Itu diberi skor tingkat keparahan 9,8/10 (kritis).
Hikmahnya adalah bahwa hal itu tidak dapat dieksploitasi dengan mudah. Situs perlu menggunakan formulir ‘Buat Pengguna’ atau ‘Perbarui Pengguna’ dengan bidang peran yang dipetakan.
Bug telah diperbaiki di versi 0.9.2.2. Menurut statistik resmi WordPress, sekitar 50.000 situs web telah diperbarui ke versi terbaru, sehingga jumlah situs yang masih rentan masih sama.
Saat berita ini dimuat, belum ada bukti bahwa kelemahan tersebut disalahgunakan secara liar, namun kini setelah berita tersebut tersebar, dapat diasumsikan bahwa penjahat dunia maya setidaknya akan mulai menyelidiki kerentanan tersebut.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
