WordPress débute l'année avec une vulnérabilité critique à cause d'un plugin : Advanced Custom Fileds : Extended, alias ACF Extended. Des hackers pourraient utiliser une faille pour pouvoir récupérer les droits administrateur même sans être authentifiés. Problème : ce plugin est utilisé par plus de 100 000 sites WordPress. 

La vulnérabilité est référencée CVE-2025-14533. La faille vient d'une utilisation abusive de Insert User / Update User sur les versions 0.9.2.1 et antérieures. Il apparait qu'il y a un défaut de restrictions d'actions sur les champs du formulaire... A priori, aucune d'attaque massive n'aurait été exploitée cette faille. 

Mettez à jour sans délai avec ACF Extended 0.9.2.2.