Un’ondata di preoccupazione attraversa la comunità degli amministratori WordPress: una nuova vulnerabilità CVE-2025-14533 ha scosso le fondamenta della piattaforma, esponendo oltre centomila siti a rischi concreti di compromissione. Sono almeno cinquantamila, secondo le stime, i siti ancora vulnerabili a questa falla di un plugin che consente l’accesso non autorizzato con privilegi amministrativi, mettendo in discussione la sicurezza siti web su scala globale. L’allarme nasce da una scoperta del ricercatore Andrea Bocchetti, che ha portato alla luce una falla critica nel plugin ACF Extended, uno degli strumenti più diffusi per la personalizzazione avanzata di WordPress.
La criticità, presente in tutte le versioni precedenti alla 0.9.2.2, è legata all’assenza di una corretta validazione dei ruoli utente nei moduli di registrazione e aggiornamento account gestiti dal plugin. Questo difetto apre la strada a un semplice, ma devastante, attacco di privilege escalation: tramite i moduli vulnerabili, un malintenzionato può assegnarsi il ruolo di amministratore, aggirando qualsiasi misura di sicurezza implementata a monte. Così, chiunque riesca a sfruttare la falla può ottenere il pieno controllo del sito, senza nemmeno la necessità di autenticazione preliminare.
L’analisi condotta dagli esperti di Wordfence, punto di riferimento mondiale per la security di WordPress, conferma la gravità della situazione. Nella versione vulnerabile di ACF Extended, i campi modulo non sono soggetti ad alcuna restrizione: ciò permette agli attaccanti di modificare arbitrariamente il ruolo dell’utente, rendendo possibile la creazione di account con privilegi amministrativi senza alcun controllo. Le conseguenze di una simile compromissione sono molteplici e potenzialmente disastrose: dal furto di dati sensibili, all’installazione di malware, fino alla manipolazione dei contenuti e all’estrazione di informazioni riservate appartenenti a clienti e utenti.
Nonostante la portata del rischio, è importante sottolineare che la vulnerabilità CVE-2025-14533 colpisce esclusivamente i siti che utilizzano esplicitamente moduli di “Creazione Utente” o “Aggiornamento Utente” con un campo di ruolo configurato. Questa limitazione riduce il numero di installazioni realmente esposte, ma non ne diminuisce la rilevanza: il bacino di siti vulnerabili resta comunque considerevole e il potenziale impatto rimane elevato.
Il percorso di divulgazione responsabile è iniziato il 10 dicembre 2025, quando Andrea Bocchetti ha notificato la scoperta a Wordfence. La risposta del team di sviluppo è stata tempestiva: il 14 dicembre è stata rilasciata la patch risolutiva, con la versione 0.9.2.2 di ACF Extended. Tuttavia, secondo i dati di download provenienti da wordpress.org, almeno cinquantamila siti hanno installato il plugin dopo il rilascio della patch, restando quindi esposti alla minaccia tutte le restanti installazioni ancora non aggiornate.
Ad aggravare il quadro, i dati di GreyNoise, azienda leader nella threat intelligence, hanno documentato un’intensa attività di ricognizione e scansione automatizzata tra fine ottobre 2025 e metà gennaio 2026. Quasi mille indirizzi IP, appartenenti a 145 Autonomous System Number (ASN) diversi, hanno preso di mira 706 plugin differenti, con oltre quarantamila eventi di enumerazione unici registrati. Tra i plugin più frequentemente oggetto di attenzione figurano Post SMTP, Loginizer, LiteSpeed Cache, SEO by Rank Math, Elementor e Duplicator.
Particolarmente rilevante è la situazione di Post SMTP, bersaglio di attacchi attivi legati alla CVE-2025-11833: già dal novembre 2025, novantuno indirizzi IP distinti sono stati coinvolti in tentativi di sfruttamento. Anche la CVE-2024-28000, che interessa LiteSpeed Cache, rappresenta una minaccia concreta, con attività malevole in corso fin dall’agosto 2024.
Alla luce di questo scenario, la priorità per i gestori di siti WordPress deve essere quella di verificare immediatamente la presenza del plugin ACF Extended e aggiornare alla versione 0.9.2.2 o successive. È altrettanto consigliabile controllare i moduli di creazione e aggiornamento utenti per la presenza di campi ruolo configurati. Per i siti più sensibili, un’analisi retrospettiva dei log di accesso e dei dati di creazione account degli ultimi mesi può aiutare a identificare eventuali tentativi di exploit.
Questo episodio sottolinea, ancora una volta, l’importanza di mantenere aggiornati tutti i componenti della piattaforma e di monitorare costantemente gli avvisi delle organizzazioni specializzate come Wordfence. Solo una vigilanza attiva e una risposta tempestiva possono garantire una reale sicurezza siti web in un panorama di minacce sempre più sofisticate e persistenti.
