Uma vulnerabilidade crítica foi identificada no plugin Advanced Custom Fields: Extended (ACF Extended), utilizado em sites WordPress, que permite a hackers obterem permissões de administrador sem autenticação. Essa falha, classificada como CVE-2025-14533, está relacionada ao abuso de privilégios através do formulário de ação ‘Insert User / Update User’ nas versões 0.9.2.1 e posteriores. A vulnerabilidade se origina da falta de restrições adequadas durante a criação ou atualização de usuários, permitindo que qualquer hacker escolha o papel de um novo usuário. O pesquisador Andrea Bocchetti reportou a falha à empresa de segurança Wordfence em 10 de dezembro de 2025, e uma atualização foi disponibilizada quatro dias depois. Apesar de cerca de 50.000 sites estarem potencialmente vulneráveis, até o momento, não foram registrados ataques explorando essa falha. Contudo, a GreyNoise observou campanhas de hackers que visam falhas em plugins do WordPress, indicando um risco crescente para os usuários que ainda não atualizaram seus sistemas.
Fonte: https://canaltech.com.br/seguranca/plugin-popular-do-wordpress-permite-que-hackers-invadam-50000-sites-como-admin/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
21/01/2026 • Risco: ALTO
VULNERABILIDADE
Plugin popular do WordPress permite que hackers invadam 50.000 sites
RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-14533 no plugin ACF Extended do WordPress permite que hackers obtenham controle total sobre sites, afetando cerca de 50.000 usuários. A atualização para a versão 0.9.2.2 já está disponível, mas muitos sites ainda podem estar expostos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a recuperação de dados e reputação em caso de exploração da vulnerabilidade.
Operacional
Possibilidade de controle total dos sites vulneráveis.
Setores vulneráveis
['Setores que utilizam WordPress para gestão de conteúdo']
📊 INDICADORES CHAVE
50.000 sites potencialmente vulneráveis
Indicador
10.000 sites ativos com o plugin
Contexto BR
Cerca de 1.000 IPs de 706 plugins diferentes atacados entre outubro de 2025 e janeiro de 2026
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o plugin ACF Extended está na versão 0.9.2.2 ou superior.
2
Atualizar imediatamente o plugin para a versão corrigida.
3
Monitorar logs de acesso e tentativas de criação de usuários não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de plugins amplamente utilizados, que podem comprometer a integridade de sites e dados.
⚖️ COMPLIANCE
Implicações legais relacionadas à proteção de dados e conformidade com a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
