Vulnérabilité WordPress : Advanced Custom Fields Extended

Une faiblesse critique (CVE-2025-13486) a été découverte dans le plugin Advanced Custom Fields : Extended, actif sur plus de 100 000 sites WordPress, permettant à un attaquant non authentifié d’exécuter du code à distance via la fonction prepare_form() qui traite de manière dangereuse des entrées utilisateurs, aboutissant à une exécution arbitraire de code et à l’ajout de comptes administrateurs malveillants. La vulnérabilité porte un score CVSS de 9,8 (critique) et expose des sites à une compromission complète, incluant backdoors, modification de contenu et prise de contrôle totale du CMS. Wordfence a fourni des protections par firewall et le correctif a été publié dans la version 0.9.2 du plugin ; les administrateurs doivent vérifier rapidement leur version installée et appliquer la mise à jour.

Source : Wordfence