Hackare kan bli admin på tusentals WordPress-sajter – allvarlig bugg i populärt tillägg

Kritisk sårbarhet i ACF Extended

ACF Extended används på omkring 100 000 WordPress-sajter och är ett utvecklarinriktat tillägg som bygger vidare på det välkända ACF-pluginet. Nu har en kritisk sårbarhet, registrerad som CVE-2025-14533, upptäckts i version 0.9.2.1 och tidigare.

Felet gör det möjligt för oautentiserade angripare att skapa eller uppdatera användarkonton och samtidigt tilldela sig själva rollen som administratör. Därmed kan en angripare i praktiken ta full kontroll över webbplatsen, skriver Bleeping Computer. 

Så fungerar attacken

Sårbarheten finns i funktionerna Create User och Update User i pluginets formulärhantering. Problemet är att pluginet inte korrekt kontrollerar vilka roller som får tilldelas användare via formulär.

– I den sårbara versionen saknas begränsningar för formulärfälten, vilket gör att användarrollen kan sättas fritt – även till administratör – oavsett inställningarna, uppger säkerhetsföretaget Wordfence.

Läs också: Nvidia passerade 4 000 miljarder dollar

Som vid alla eskaleringsattacker innebär detta en total kompromettering av sajten, varnar forskarna.

Alla sajter är inte drabbade

Samtidigt betonar Wordfence att sårbarheten inte automatiskt påverkar alla som använder ACF Extended. För att attacken ska fungera krävs att webbplatsen aktivt använder ett formulär för att skapa eller uppdatera användare och att ett rollfält är kopplat till formuläret.

Det minskar risken – men konsekvenserna är desto allvarligare för de sajter som uppfyller kriterierna.

Upptäcktes i december – men många har inte uppdaterat

Säkerhetsbristen upptäcktes av säkerhetsforskaren Andrea Bocchetti, som rapporterade felet till Wordfence den 10 december 2025. Fyra dagar senare släppte utvecklaren en fix i version 0.9.2.2.

Läs också: Apple vill köpa F1-rättigheterna

Trots det visar nedladdningsstatistik från wordpress.org att omkring 50 000 användare laddat ner pluginet efter uppdateringen. Det antyder att en lika stor grupp sajter fortfarande kan köra en sårbar version.

Ökad kartläggning av WordPress-tillägg

Även om inga faktiska attacker mot just CVE-2025-14533 har observerats ännu, pekar data från hotanalysföretaget GreyNoise på ett växande intresse för att kartlägga sårbara WordPress-sajter.

Enligt GreyNoise har nästan 1 000 IP-adresser från 145 olika nätverk mellan oktober 2025 och januari 2026 systematiskt kartlagt WordPress-installationer. Totalt har 706 olika tillägg scannats i över 40 000 kartläggningsförsök.

Bland de mest kartlagda tilläggen finns Post SMTP, Loginizer, LiteSpeed Cache, Rank Math SEO, Elementor och Duplicator.

Läs också: Samsung fortsätter med galna priser

Tidigare attacker ger tydlig varningssignal

GreyNoise kopplar aktiv kartläggning till kända attacker. En sårbarhet i Post SMTP (CVE-2025-11833) började utnyttjas aktivt i november 2025, enligt Wordfence. En annan brist i LiteSpeed Cache (CVE-2024-28000) markerades som aktivt utnyttjad redan i augusti 2024.

Rådet till sajtägare

Säkerhetsexperter är tydliga: alla som använder ACF Extended bör omedelbart uppdatera till version 0.9.2.2 eller senare och granska om formulär för användarskapande används på sajten.

– Kartläggning är ofta första steget före attacker, och historiken visar att ouppdaterade WordPress-sajter är ett tacksamt mål, enligt GreyNoise.

För många webbplatsägare är budskapet enkelt: uppdatera nu – eller riskera att förlora kontrollen över din sajt.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare