Un fallo detectado en un popular complemento de WordPress ha dejado a más de 50.000 sitios web expuestos a la posibilidad de ser controlados por atacantes.
La vulnerabilidad afecta al plugin Advanced Custom Fields: Extended (ACF Extended), utilizado principalmente por desarrolladores y administradores de páginas que buscan ampliar las capacidades de personalización de sus sitios.
El fallo permite que personas no autenticadas obtengan permisos de administrador y, en consecuencia, puedan tomar el control total de los sitios afectados.
Detalles de la vulnerabilidad crítica
La brecha de seguridad, identificada como CVE-2025-14533, fue descubierta por el investigador de seguridad Andrea Bocchetti y reportada a la firma de ciberseguridad Wordfence a mediados de diciembre de 2025. El plugin ACF Extended está presente en unos 100.000 sitios web activos.
El riesgo se centra en las versiones 0.9.2.1 y anteriores del complemento, en las cuales no se aplican correctamente las restricciones de roles durante la creación o actualización de usuarios mediante formularios personalizados.
La vulnerabilidad específica reside en la acción de formulario “Insert User / Update User” del plugin. Wordfence detalla: “En la versión vulnerable, no existen restricciones para los campos del formulario, por lo que el rol del usuario puede establecerse de forma arbitraria, incluso como ‘administrador’, sin importar la configuración de los campos, siempre que exista un campo de rol en el formulario”.
Cualquier usuario externo, sin autenticación previa, puede autoconcederse privilegios de administrador y obtener control total sobre el sitio.
Aunque la gravedad del fallo es alta —con una puntuación de 9,8 sobre 10 según los criterios de ciberseguridad—, el alcance de la explotación está limitado a aquellos sitios que utilizan formularios personalizados para crear o actualizar usuarios y que incluyen un campo de rol asignado. Los expertos advierten que este tipo de vulnerabilidad de escalada de privilegios podría derivar en la completa toma de control de los portales afectados.
Actualizaciones urgentes y recomendaciones
El error fue subsanado por el desarrollador del plugin apenas cuatro días después de ser informado, mediante el lanzamiento de la versión 0.9.2.2 de ACF Extended. Sin embargo, los datos de descargas oficiales de wordpress.org muestran que unas 50.000 instalaciones ya han sido actualizadas, lo que deja a una cifra similar de sitios aún expuestos al ataque.
Los administradores de sitios web que utilizan WordPress y especialmente el complemento ACF Extended deben comprobar de inmediato la versión instalada y, de ser necesario, aplicar la actualización correspondiente. Los expertos recomiendan evitar el uso de formularios personalizados con campos de rol configurados mientras persista el riesgo, y revisar los permisos de usuario asignados.
La consultora de seguridad Wordfence remarcó la importancia de mantener los complementos de WordPress actualizados, ya que vulnerabilidades como CVE-2025-14533 pueden permitir a atacantes remotos tomar el control de los portales afectados. El 50 % de los usuarios ya corrigió el fallo, pero otros tantos permanecen vulnerables, lo que representa un riesgo persistente para miles de páginas en todo el mundo.
Prácticas que debes evitar en internet
Esta es una serie de recomendaciones de hackers profesionales orientadas a reducir los riesgos al navegar por internet:
- Reaccionar sin pensar ante mensajes urgentes o emocionales: Los ciberdelincuentes suelen apelar a la emoción o la urgencia para que los usuarios actúen impulsivamente. Antes de responder a mensajes sospechosos, se recomienda verificar su autenticidad.
- Navegar sin protección antivirus: Mantener un antivirus actualizado es clave para bloquear software malicioso y prevenir infecciones.
- Abrir enlaces o archivos de correos electrónicos sospechosos: Hacer clic sin precaución en enlaces o archivos adjuntos puede facilitar el robo de datos. Es mejor ingresar manualmente a los sitios oficiales o consultar fuentes confiables.
- Repetir contraseñas o usar combinaciones predecibles: Utilizar la misma clave en varios servicios multiplica el riesgo de accesos no autorizados. Se aconseja usar contraseñas fuertes y diferentes para cada cuenta apoyándose en gestores de contraseñas.
- Compartir información personal en formularios o respuestas online: Proporcionar datos sensibles puede facilitar el acceso a cuentas personales. Es preferible omitir detalles privados o usar respuestas ficticias en preguntas de seguridad.
- Acceder a cuentas importantes desde redes Wi-Fi públicas: Estas conexiones pueden facilitar la interceptación de información sensible. Se recomienda evitarlas para operaciones delicadas.
- Instalar aplicaciones sin revisar los permisos solicitados: Algunas apps piden permisos excesivos que podrían comprometer la privacidad y seguridad del usuario. Solo se deben instalar aquellas que soliciten permisos acordes a su función.
Últimas Noticias
Así funciona la nueva Inteligencia Personal de Gemini para gestionar correos, fotos y archivos
Con esta herramienta, puedes vincular servicios como Gmail, Google Fotos, YouTube y el Buscador de manera instantánea y sencilla
Así es EX60, el primer coche eléctrico impulsado por Gemini, la IA de Google
El vehículo de Volvo brinda interacción avanzada, actualizaciones constantes y una autonomía de hasta 810 kilómetros
Una ‘pantalla privada’ en el celular: la novedad que podría tener el Galaxy S26 Ultra
Si se confirma esta filtración, se tratará de un avance significativo para la privacidad en entornos públicos
Papelera de WhatsApp: guía para ubicarla y limpiar archivos fácilmente
Uno de los primeros pasos para liberar espacio es eliminar la caché de la app
Las 8 innovaciones que podría sumar Siri tras la alianza entre Google y Apple
Entre las posibles novedades, Siri podría ofrecer un apoyo emocional más empático, brindando respuestas útiles cuando detecte que un usuario expresa sentirse solo o desanimado
