Tienduizenden WordPress-sites lopen door de aanwezigheid van een kritiek beveiligingslek in een gebruikte plug-in het risico om door aanvallers op afstand te worden overgenomen. Een beveiligingsupdate voor de kwetsbaarheid, die remote code execution (RCE) mogelijk maakt, is sinds 21 november beschikbaar, maar tienduizenden WordPress-sites hebben die nog niet geïnstalleerd.

Het beveiligingslek (CVE-2025-13486) is aanwezig in de plug-in Advanced Custom Fields: Extended, zo meldt securitybedrijf Wordfence. Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF, die op meer dan honderdduizend websites draait.

Een op afstand aan te roepen functie van ACF: Extended blijkt gebruikersinvoer niet goed te verwerken, waardoor ongeauthenticeerde aanvallers willekeurige code op de server kunnen uitvoeren. Ook is het mogelijk voor aanvallers om willekeurige andere WordPress-functies aan te roepen, waaronder de mogelijkheid om een nieuwe administrator aan te maken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De ontwikkelaars van ACF: Extended kwamen op 21 november met versie 0.9.2 waarin het probleem is verholpen. Cijfers van WordPress.org laten zien dat meer dan vijftigduizend websites de update nog niet hebben geïnstalleerd en zodoende risico lopen om te worden aangevallen.