Tienduizenden WordPress-sites bevatten een kritieke kwetsbaarheid waardoor ze in theorie door aanvallers op afstand zijn over te nemen. Een beveiligingsupdate is al een maand beschikbaar, maar een groot aantal websites heeft die nog niet geïnstalleerd. De ontwikkelaars van Advanced Custom Fields: Extended hebben ook niet nadrukkelijk vermeld dat de update het kritieke beveiligingslek verhelpt.

Advanced Custom Fields (ACF) is een zeer populaire uitbreiding die allerlei extra opties aan WordPress toevoegt. Meer dan twee miljoen websites maken er gebruik van. Advanced Custom Fields: Extended is weer een uitbreiding voor ACF die allerlei verbeteringen zou moeten toevoegen en op meer dan honderdduizend websites draait. Een beveiligingslek in ACF: Extended maakt het voor een ongeauthenticeerde aanvaller mogelijk om zich als administrator te registreren en zo volledige controle over de website te krijgen. Voorwaarde is wel dat de beheerder van de site bepaalde opties voor het registratieformulier heeft ingeschakeld. Iets dat volgens securitybedrijf Wordfence waarschijnlijk niet veel voorkomt.

Ondanks de voorwaarden voor misbruik is de impact van de kwetsbaarheid (CVE-2025-14533) op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in werden op 11 december ingelicht en kwamen op 14 december met versie 0.9.2.2 waarin het probleem is verholpen. In de release notes wordt de aanwezigheid van het beveiligingslek niet vermeld. Er wordt alleen gesteld dat er "een beveiligingsmaatregel" is toegevoegd. Hoewel de update al een maand beschikbaar is, laten cijfers van WordPress.org zien dat zo'n 60.000 sites die nog niet hebben geïnstalleerd.