Tienduizenden WordPress-websites lopen risico door een ernstig beveiligingslek dat aanvallers de mogelijkheid biedt om op afstand controle over te nemen. Hoewel er al een maand een beveiligingsupdate beschikbaar is, hebben veel sites deze nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben niet duidelijk aangegeven dat de update dit kritieke lek oplost.

Advanced Custom Fields (ACF) is een populaire plug-in die extra functionaliteiten aan WordPress toevoegt en wordt door meer dan twee miljoen websites gebruikt. Advanced Custom Fields: Extended is een uitbreiding op ACF die verbeteringen biedt en draait op meer dan honderdduizend sites. Een kwetsbaarheid in ACF: Extended stelt een ongeauthenticeerde aanvaller in staat om zich als beheerder te registreren en volledige controle over de site te verkrijgen, mits bepaalde registratieopties zijn ingeschakeld. Volgens Wordfence komt dit waarschijnlijk niet vaak voor. De kwetsbaarheid (CVE-2025-14533) heeft een impactscore van 9.8 op een schaal van 10. De ontwikkelaars werden op 11 december geïnformeerd en brachten op 14 december versie 0.9.2.2 uit die het probleem oplost. In de release notes wordt het lek niet specifiek genoemd, alleen dat er een "beveiligingsmaatregel" is toegevoegd. Ondanks de beschikbaarheid van de update, blijkt uit gegevens van WordPress.org dat ongeveer 60.000 sites deze nog niet hebben geïnstalleerd.