Une vulnérabilité de critique gravité dans le plugin Advanced Custom Fields : Extended pour WordPress permet à des attaquants non authentifiés d’obtenir des droits d’administration sur des sites utilisant ce composant, mettant potentiellement en danger des dizaines de milliers d’installations.
Une faille de sécurité (CVE-2025-14533) a été identifiée dans le plugin Advanced Custom Fields : Extended (ACF Extended), une extension pour WordPress installée sur plus de 100 000 sites, dont environ la moitié pourraient encore être vulnérables. La vulnérabilité permet à un attaquant distant, sans authentification préalable, d’abuser de l’action de formulaire « Insert User / Update User » pour s’octroyer des permissions administrateur sur un site affecté.
Ce type d’accès élevé est particulièrement dangereux car il permet à un acteur malveillant d’installer du code, de modifier du contenu ou de compromettre complètement l’intégrité du site et de ses données. La faille a été détectée et reportée en décembre 2025 à l’équipe de maintenance du plugin, qui a publié un correctif en version 0.9.2.2 quelques jours plus tard.
À la date de publication, aucune exploitation active de cette vulnérabilité n’a été observée à grande échelle, mais les chercheurs notent une activité de reconnaissance et de scan automatisé visant à recenser des installations encore non à jour.
Pour les administrateurs de sites WordPress, la recommandation est simple et impérative : s’assurer que toutes les extensions, en particulier ACF Extended, sont à jour, et appliquer immédiatement les correctifs proposés par les mainteneurs. Maintenir un inventaire des plugins, activer les mises à jour automatiques ou utiliser des solutions de sécurité qui surveillent les vulnérabilités connues sont des pratiques de base pour limiter les risques d’attaque.
