Agli inizi di dicembre avevamo già seguito il caso di un noto plugin di WordPress che conteneva, a quel tempo, una falla di sicurezza molto grave, ovvero Advanced Custom Fields Extended, disponibile gratuitamente nella repository del noto CMS e molto scaricato dagli sviluppatori. Questo plugin consente di creare campi personalizzandoli più semplicemente di quanto non consentano evidentemente gli strumenti nativi di WordPress, e nel dicembre scorso avevamo visto che soltanto in poche versioni, quelle dalla dalla 0.9.0.5 alla 0.9.1.1, era possibile sfruttare una vulnerabilità di gravità pari a 9,8 su 10 per eseguire codice da remoto.
Torniamo a parlarne perché è di pochissimi giorni fa la notizia di un nuovo problema di sicurezza, anch’esso molto grave, sempre presente su Advanced Custom Fields Extended, segnalato in data 10 dicembre 2025, che consente la cosiddetta privilege escalation, vale a dire l’accesso indiscriminato con privilegi da amministratore. Nel caso in esame, questo accesso era possibile anche ad utenti non autenticati, dando la possibilità di aggirare letteralmente il modulo in cui si selezionava il ruolo. Il grandissimo problema è che, a differenza della segnalazione di dicembre, questa volta le versioni interessate da questa vulnerabilità, alla quale è stata dato il codice CVE-2025-14533, sono tutte fino alla 0.9.2.1 inclusa. Il malintenzionato che conosce la presenza di questa falla di sicurezza, pertanto, sa che può sfruttarla andando semplicemente a registrarsi come utente del sito che vuole colpire e inserire il ruolo che più preferisce, anche quello di amministratore.
Non è necessario dilungarsi su cosa ciò significa, poiché è chiaro che una volta ottenuto il massimo dei privilegi l’hacker può prendere il controllo del sito, rubare informazioni di qualsiasi tipo come ad esempio quelle sui pagamenti se si tratta di un e-commerce, oppure effettuare reindirizzamenti verso siti malevoli ed anche fare attività di spam. Alla falla è stato, per tutti questi motivi, attribuita una gravità pari anche stavolta a 9.8 su 10, cosa che ne qualifica sicuramente la pericolosità, ed è bene precisare che può essere sfruttata anche se, nella costruzione dell’elemento, viene pubblicato il campo chiamato “Ruolo” e si obbligano coloro che utilizzano il form soltanto a due ruoli, ad esempio “utente” e “sottoscrittore”. Con la versione vulnerabile del plugin questi limiti non vengono comunque impostati, mettendo tutto il sito a rischio. È tuttavia chiaro che il problema può inficiare soltanto su quei siti nei quali si usa Advanced Custom Fields Extended anche per creare utenti o aggiornarli, mentre gli altri, a meno di altri problemi ancora non noti, dovrebbero poter stare più tranquilli.
Ciò che comunque adesso è importante è che sebbene questa problematica sia stata segnalata per la prima volta il 10 dicembre, soltanto pochi giorni dopo è stata pubblicata la nuova versione contenente la patch, ovvero la 0.9.2.2, che è già stata aggiornata a sua volta con la 0.9.2.3, attualmente disponibile. È evidente adesso che è strettamente necessario procedere con l’installazione di questa versione e suggerire di fare lo stesso anche ad altri utenti che sappiamo essere utilizzatori di Advanced Custom Fields Extended. La platea, come ricordavamo anche nello scorso aggiornamento, conta più di 100.000 siti, che rischiano di avere accessi illegittimi al sito e tutte le altre problematiche già specificate nel paragrafo precedente, cose che oltre a causare un danno economico possono anche gravare in negativo sulla SEO, sulla reputazione del marchio e del proprio nome.
Fonte: 1
