Celah keamanan kritis ditemukan pada plugin Advanced Custom Fields: Extended (ACF Extended) yang berpotensi memberi penyerang akses administrator ke puluhan ribu situs WordPress. Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa autentikasi, sehingga memungkinkan pengambilalihan situs secara penuh.
ACF Extended merupakan plugin pengembangan lanjutan yang memperluas kemampuan Advanced Custom Fields (ACF), dan saat ini digunakan oleh sekitar 100.000 situs WordPress. Plugin ini banyak dimanfaatkan oleh developer dan advanced site builder untuk membangun formulir dan struktur data kustom.
Celah Eskalasi Hak Akses Tingkat Kritis
Kerentanan tersebut dilacak sebagai CVE-2025-14533 dan memengaruhi ACF Extended versi 0.9.2.1 dan lebih lama. Celah ini berasal dari kegagalan plugin dalam menerapkan pembatasan peran (role restrictions) saat proses pembuatan atau pembaruan akun pengguna melalui fitur formulir Insert User / Update User.
Akibatnya, penyerang dapat menetapkan peran pengguna secara bebas—termasuk sebagai administrator—meskipun pengaturan formulir telah dikonfigurasi untuk membatasi peran tertentu. Dengan teknik ini, akun berhak admin bisa dibuat tanpa kredensial apa pun.
Peneliti keamanan menegaskan bahwa seperti kebanyakan celah eskalasi hak akses, eksploitasi CVE-2025-14533 dapat berujung pada kompromi total situs. Meski begitu, celah ini hanya dapat dimanfaatkan pada situs yang secara aktif menggunakan formulir Create User atau Update User dengan pemetaan field peran pengguna.
Perbaikan Sudah Dirilis, Tapi Risiko Masih Besar
Celah ini pertama kali dilaporkan oleh peneliti keamanan Andrea Bocchetti pada 10 Desember 2025 dan kemudian divalidasi serta diteruskan ke pengembang. Empat hari berselang, pengembang ACF Extended merilis pembaruan versi 0.9.2.2 yang menutup celah tersebut.
Namun, data unduhan menunjukkan sekitar 50.000 pengguna telah mengunduh plugin sejak pembaruan dirilis. Dengan asumsi seluruh unduhan tersebut menggunakan versi terbaru, masih ada sekitar 50.000 situs lain yang berpotensi menjalankan versi rentan dan belum melakukan pembaruan.
Aktivitas Reconnaissance WordPress Meningkat
Meski belum ada laporan eksploitasi aktif terhadap CVE-2025-14533, sinyal ancaman tetap mengkhawatirkan. Perusahaan pemantauan ancaman GreyNoise melaporkan lonjakan aktivitas reconnaissance terhadap plugin WordPress dalam skala besar.
Dari akhir Oktober 2025 hingga pertengahan Januari 2026, hampir 1.000 alamat IP dari 145 ASN terpantau melakukan enumerasi terhadap 706 plugin WordPress, dengan lebih dari 40.000 aktivitas pemindaian unik. Plugin yang paling sering menjadi target meliputi Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor, dan Duplicator.
GreyNoise juga mencatat adanya eksploitasi aktif terhadap celah lain, seperti CVE-2025-11833 pada Post SMTP serta CVE-2024-28000 yang berdampak pada LiteSpeed Cache. Pola ini menunjukkan bahwa penyerang secara agresif memetakan plugin populer untuk mencari titik masuk yang dapat dieksploitasi.
Imbauan untuk Admin WordPress
Temuan ini menjadi peringatan keras bagi pengelola situs WordPress, khususnya yang menggunakan plugin pengelolaan formulir dan pengguna. Admin disarankan segera memperbarui ACF Extended ke versi 0.9.2.2 atau lebih baru, serta meninjau ulang formulir yang memungkinkan pembuatan atau pembaruan akun pengguna.
Di tengah meningkatnya aktivitas pemindaian otomatis terhadap ekosistem WordPress, keterlambatan melakukan pembaruan keamanan dapat membuka jalan bagi kompromi situs dalam skala besar.