Veel websites wereldwijd draaien op WordPress en vertrouwen daarbij op een uitgebreid ecosysteem van plugins om extra functionaliteit toe te voegen. Die afhankelijkheid heeft echter ook een keerzijde: wanneer plugins niet tijdig worden bijgewerkt, kunnen ernstige beveiligingslekken ontstaan. Dat is momenteel het geval bij de WordPress-plugin Advanced Custom Fields: Extended, waarvoor al sinds december een kritieke beveiligingsupdate beschikbaar is.
Ernstige kwetsbaarheid met grote impact
De plugin Advanced Custom Fields: Extended, een populaire uitbreiding op de veelgebruikte Advanced Custom Fields-plugin, bevat een ernstige kwetsbaarheid in alle versies tot en met 0.9.2.1. Het probleem maakt privilege-escalatie mogelijk. In de praktijk betekent dit dat een kwaadwillende gebruiker zich – onder bepaalde omstandigheden – kan registreren als administrator van de website.
Zodra een aanvaller administratorrechten verkrijgt, heeft die volledige controle over de WordPress-installatie. Dat omvat onder meer het aanpassen of verwijderen van content, het installeren van extra (kwaadaardige) plugins, het toevoegen of verwijderen van gebruikers en zelfs het blokkeren van de oorspronkelijke site-eigenaar en beheerders. In feite kan een website volledig worden overgenomen.
Afhankelijk van configuratie, maar risico blijft groot
Volgens beveiligingsonderzoekers is het misbruik van deze kwetsbaarheid weliswaar afhankelijk van specifieke instellingen in het registratieproces van de website. In veel gevallen staat gebruikersregistratie niet zo open ingesteld dat directe exploitatie mogelijk is. Toch vormt dit geen geruststelling. Zodra een site wél een kwetsbare configuratie heeft of deze in de toekomst per ongeluk activeert, ligt misbruik direct op de loer.
Juist vanwege de potentiële impact kreeg dit beveiligingslek een uitzonderlijk hoge score van 9,8 op 10 binnen het internationale Common Vulnerabilities and Exposures (CVE)-register. De kwetsbaarheid is daar vastgelegd onder de code CVE-2025-14533, wat duidt op een kritiek risico dat onmiddellijke actie vereist.
Populaire plugin, trage updates
Advanced Custom Fields: Extended is geen obscure plugin. Met meer dan 100.000 actieve installaties behoort zij tot de veelgebruikte uitbreidingen binnen het WordPress-ecosysteem. Dat maakt het probleem des te zorgwekkender, aangezien een aanzienlijk deel van die installaties nog steeds niet is bijgewerkt.
De beveiligingsupdate, versie 0.9.2.2, werd al op 14 december uitgebracht. Toch blijkt weken later dat veel websitebeheerders deze update nog niet hebben doorgevoerd. Dit onderstreept een breder probleem binnen WordPress-beheer: updates worden te vaak uitgesteld, terwijl juist plugins een van de meest voorkomende aanvalsvectoren vormen.
Wat doet de plugin precies?
De Extended-plugin bouwt voort op Advanced Custom Fields, een bekende WordPress-plugin die het mogelijk maakt om aangepaste velden toe te voegen aan pagina’s, berichten en andere contenttypes. Hierdoor kunnen websites eenvoudiger complexe inhoudsstructuren beheren, zonder diep in de code te hoeven duiken.
De Extended-variant voegt daar extra functionaliteit aan toe, zoals meer veldtypes, geavanceerdere instellingen en uitgebreidere mogelijkheden voor ontwikkelaars en contentbeheerders. Juist door die extra complexiteit kan echter ook extra risico ontstaan wanneer beveiliging niet zorgvuldig wordt geïmplementeerd.
Ontdekking en beloningssysteem
De kwetsbaarheid werd onder de aandacht gebracht door beveiligingsonderzoeker Andrea Bocchetti, die zijn bevindingen rapporteerde via het beveiligingsplatform Wordfence. Dit platform hanteert een zogenaamd bug bounty-programma, waarbij onderzoekers financieel worden beloond voor het verantwoord melden van beveiligingsproblemen.
Dankzij dit soort programma’s worden ernstige kwetsbaarheden vaak vroegtijdig ontdekt en kunnen ontwikkelaars patches uitbrengen voordat grootschalig misbruik plaatsvindt. In dit geval leidde de melding direct tot het uitbrengen van een beveiligingsupdate.
Oproep aan websitebeheerders
Voor WordPress-beheerders is de boodschap duidelijk: controleer onmiddellijk of Advanced Custom Fields: Extended op de website is geïnstalleerd en update deze zonder uitstel naar versie 0.9.2.2 of hoger. Wie plugins niet actief gebruikt, doet er bovendien goed aan deze volledig te verwijderen.
Het incident benadrukt opnieuw het belang van regelmatig onderhoud, automatische updates waar mogelijk en een kritisch oog voor welke plugins daadwerkelijk nodig zijn. In een ecosysteem zo groot als WordPress is beveiliging geen eenmalige actie, maar een continu proces.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack