ACF Extended: Kritische Lücke gefährdet Zehntausende WordPress-Seiten

Eine kritische Sicherheitslücke im beliebten WordPress-Plugin ACF Extended ermöglicht Angreifern Administrator-Rechte – ohne Passwort. Geschätzt 50.000 Websites sind unmittelbar von einer vollständigen Übernahme bedroht. Die Schwachstelle mit der Kennung CVE-2025-14533 wurde mit der höchsten Gefahrenstufe 9,8 von 10 bewertet.

Der Fehler steckt in den Benutzerverwaltungs-Funktionen des Plugins. Normalerweise legen Besucher über ein Formular auf der Website ein Benutzerkonto an – etwa für einen Newsletter oder einen Kommentarbereich. Bei mit ACF Extended erstellten Formularen fehlte jedoch eine entscheidende Prüfung: Die zugewiesene Benutzerrolle wurde nicht validiert.

Das hat fatale Folgen. Ein Angreifer kann sich einfach über ein solches Formular registrieren und sich dabei selbst die Rolle „Administrator“ zuweisen. Damit erhält er sofort vollen Zugriff auf die gesamte Website. Datenklau, Malware, Defacement oder die Nutzung als Angriffsplattform sind dann möglich. „Diese Art von Schwachstelle kann zur vollständigen Kompromittierung einer Seite führen“, warnen Experten des Sicherheitsanbieters Wordfence.

Viele Website‑Betreiber unterschätzen, wie schnell verwundbare Plugins zum Einfallstor für Angreifer werden. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Trends und liefert praxisnahe Schutzmaßnahmen speziell für kleine und mittlere Websites – vom sicheren Umgang mit Registrierungsformularen über Monitoring bis zu Notfall‑Checklisten für den Ernstfall. Ideal für Administratoren, die ihre Seite sofort härten wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Rasches Update – doch viele Websites hinken hinterher

Die Lücke wurde bereits am 10. Dezember 2025 entdeckt. Die Entwickler reagierten schnell und veröffentlichten vier Tage später mit Version 0.9.2.2 ein entscheidendes Sicherheits-Update. Das Plugin, eine Erweiterung für das weit verbreitete „Advanced Custom Fields“, ist auf etwa 100.000 Websites installiert.

Doch hier liegt das Problem: Laut Download-Statistiken wurde das Update bisher nur auf etwa der Hälfte aller Installationen eingespielt. Somit bleiben schätzungsweise 50.000 Websites verwundbar. Obwohl noch keine groß angelegten Angriffswellen bekannt sind, hat die Wordfence-Firewall bereits Exploit-Versuche blockiert. Das zeigt: Hacker haben die Schwachstelle auf dem Radar.

Dringende Handlungsempfehlung für Betreiber

Die Lösung ist eindeutig. Website-Administratoren müssen das Plugin sofort auf Version 0.9.2.2 oder höher aktualisieren. Diese Priorität sollte oberste Priorität haben. Wer das Update nicht umgehend einspielen kann, sollte als Notlösung alle öffentlichen Registrierungs- oder Profilbearbeitungsformulare deaktivieren, die mit den betroffenen ACF Extended-Funktionen erstellt wurden.

Der Vorfall unterstreicht eine grundlegende Schwachstelle im WordPress-Ökosystem. Die Sicherheit von Hunderttausenden Seiten hängt oft von der Update-Disziplin einzelner Betreiber ab. Angesichts automatisierter Angriffstools, die ständig nach verwundbaren Plugins suchen, ist proaktive Wartung die wichtigste Verteidigungslinie.