Könnyen megszerezhető adminjogok
A CVE-2025-14533 azonosítójú hibát kihasználva a támadók úgy szerezhetnek adminisztrátori jogosultságot, hogy nem is kell bejelentkezniük. A gond az, hogy a 0.9.2.1 és korábbi verziókban az “Insert User / Update User” űrlapnál nincsenek szerepkörkorlátozások, így akár adminisztrátor is lehet bárkiből. Ez akkor is működik, ha a mező beállításai elvileg helyesen vannak beállítva. Így a támadók gyakorlatilag teljesen átvehetik az oldal feletti uralmat.
Mennyi oldal van veszélyben?
A hibát Andrea Bocchetti biztonsági kutató fedezte fel, aki 2025. december 10-én jelentette a Wordfence csapatának. Négy nap alatt elkészült a javítás; a legújabb, 0.9.2.2-es verzióban már nem áll fenn a hiba. Azóta nagyjából 50 000 felhasználó töltötte le a legújabb frissítést, miközben sokan továbbra is sebezhetők lehetnek.
Fokozott fenyegetettség a WordPress-bővítményeknél
Bár célzott támadásokat eddig nem észleltek az ACF Extended hibájának kihasználására, a GreyNoise adatai szerint egyre nő a próbálkozások száma, hogy sérülékeny bővítményeket találjanak. Csak 2025 októbere és 2026 januárja között majdnem ezer IP-címről indult tömeges feltérképezés, több mint 700 bővítményt keresve. Fő célpontok a Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor és Duplicator.
A WordPress-oldaltulajdonosoknak érdemes azonnal frissíteni minden bővítményüket, különösen az említetteket, mert az ismert hibák rövid időn belül tömeges támadásokhoz vezethetnek.
