Uma falha crítica foi descoberta em um plugin WordPress instalado em 100.000 sites. Ele permite que um hacker crie uma conta de administrador no site e assuma o controle total dela. Metade dos sites ainda estão vulneráveis, embora uma atualização tenha sido implantada.
Uma vulnerabilidade crítica foi identificada no código do Advanced Custom Fields: Extended (ACF Extended), um plugin do WordPress que permite criar campos personalizados (caixas, listas, caixas de texto, etc.) para construir páginas e conteúdos sob medida. Em detalhes, o plugin adiciona recursos ao plugin Advanced Custom Fields (ACF), destinado principalmente a desenvolvedores.
Descoberta pela pesquisadora de segurança Andrea Bocchetti, falha está localizada no processamento de formulários “Inserir um usuário / Atualizar um usuário” do ACF Extended, justamente no campo de gerenciamento da função do usuário. Em alguns formulários públicos do ACF Extended, qualquer pessoa pode fingir ser o administrador. Por falta de controles, o plugin aceita que um usuário médio da Internet decrete arbitrariamente que ele é o administrador do site. Ao explorar a falha, um invasor pode conceder a si mesmo privilégios de administrador em um site vulnerável.
O pesquisador notificou rapidamente a Wordfence, empresa de segurança especializada em proteção de sites WordPress, sobre a vulnerabilidade. Como explica o Wordfence, “Como acontece com qualquer vulnerabilidade de elevação de privilégio, isso pode ser usado para comprometer completamente um site”. Os pesquisadores do Wordfence especificam que a falha não pode ser utilizada em todos os sites ACF Extended, apenas naqueles que implementaram determinado tipo de formulário público específico. O bug só é ativado se o site exibir um formulário ACF estendido que permite “criar um usuário” ou “atualizar um usuário” na parte pública do site. Além disso, este formulário deve conter um campo role, que determina se a conta criada será de assinante, autor ou administrador. Nenhum “a restrição não se aplica aos campos do formulário”. Portanto, “A função do usuário pode ser definida arbitrariamente”relata o Wordfence.
“Depois que um invasor obtém direitos administrativos para um site WordPress, ele pode assumir o controle total dele, assim como um administrador legítimo faria. Por exemplo, ele pode fazer upload de plug-ins ou temas como arquivos ZIP maliciosos contendo backdoors, modificar postagens e páginas para injetar conteúdo indesejado ou redirecionar visitantes para outros sites maliciosos.explica o relatório.
Leia também: 8,7 milhões de ataques cibernéticos contra sites WordPress – 2 plug-ins vulneráveis abrem a porta para hackers
Um plugin presente em 100.000 sites
Cada vez mais popular entre os desenvolvedores, o plugin tem sido instalado por 100.000 sites. Alertado pelo Wordfence, o desenvolvedor por trás do plugin investigou o problema. Ele incluiu uma correção na versão 0.9.2.2 do ACF Extended, que acaba de ser implantada. Infelizmente, nem todos os administradores ainda instalaram a atualização que corrige a falha de segurança. De acordo com as descobertas do Wordfence, metade dos sites instalaram o patch, deixando cerca de 50 mil sites ainda vulneráveis.
Obviamente recomendamos que todos os administradores mantenham todos os seus plugins atualizados. Freqüentemente, plug-ins vulneráveis servem como ponto de entrada para hackers. Há alguns meses, pesquisadores mostraram que um malware chamado DollyWay conseguiu infectar mais de 20.000 sites WordPress entre 2016 e 2025, antes de redirecionar seus visitantes para plataformas de golpes online, explorando novamente plug-ins do WordPress deixados sem atualização. Este caso está longe de ser isolado. Em 2024, uma vulnerabilidade no plugin Really Simple Security expôs mais de quatro milhões de sites.
A empresa de segurança cibernética GreyNoise também percebeu que muitos bots verificam massivamente sites WordPress para ver quais plug-ins estão instalados e identificar qualquer um que possa ser vulnerável. A operação tem como objetivo identificar locais de ataque cibernético e tentativa de aquisição. Entre o final de outubro de 2025 e meados de janeiro de 2026, quase 1.000 endereços IP diferentes enviaram mais de 40.000 solicitações direcionadas a 706 plug-ins distintos do WordPress. A operação prepara o terreno para futuros ataques.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Cerca de palavras