Sekitar 50.000 situs WordPress menghadapi risiko serius akibat celah keamanan kritis pada plugin Advanced Custom Fields: Extended (ACF: Extended). Kerentanan ini memungkinkan peretas mengakses hak administrator penuh dan mengambil alih kontrol situs. Sebanyak 100.000 situs menggunakan plugin ini, sehingga ancaman tersebar luas dan membutuhkan respon cepat dari para pengguna.
Kerentanan tersebut dilaporkan pertama kali oleh peneliti keamanan Andrea Bocchetti kepada Wordfence. Dengan skor keparahan 9.8 dari 10, celah ini tercatat sebagai CVE-2025-14533. Masalah utama terjadi pada pembatasan peran pengguna yang tidak diterapkan secara tepat selama proses pembuatan atau pembaruan akun menggunakan formulir dalam plugin. Wordfence menjelaskan bahwa pada versi rentan, peran seorang pengguna dapat diatur sesuka hati menjadi “administrator” walaupun field peran sudah ditentukan dalam formulir.
Mekanisme Kerentanan dan Potensi Ancaman
Dalam kondisi ini, siapa pun — termasuk pengguna yang tidak terautentikasi — dapat membuat akun dengan hak akses administratif. Sehingga, peretas bisa memperoleh kendali penuh atas situs yang rentan. Namun, eksploitasi celah ini tidak dapat dilakukan sembarangan. Situs yang menggunakan formulir ‘Create User’ atau ‘Update User’ dengan field peran yang dipetakan lebih rawan terhadap serangan ini. Tanpa konfigurasi khusus tersebut, risiko diserang menjadi lebih rendah.
Wordfence menegaskan bahwa melalui kerentanan ini, seorang penyerang dapat melakukan eskalasi hak akses secara tidak sah, yang merupakan pintu masuk menuju pengambilalihan total situs. Dengan demikian, setiap pengguna atau administrator situs WordPress yang menggunakan plugin ACF: Extended versi di bawah 0.9.2.2 harus waspada.
Status Pembaruan dan Rekomendasi Pengguna
Kerentanan ditemukan pada versi 0.9.2.1 dan versi-versi sebelumnya dari plugin ACF: Extended. Pengembang plugin telah merilis versi baru, yakni 0.9.2.2, yang memperbaiki celah keamanan ini secara tuntas. Namun, data resmi dari WordPress menunjukkan hanya sekitar 50.000 dari 100.000 situs yang telah melakukan pembaruan ke versi terbaru. Sisa situs lainnya tetap rentan.
Belum ada laporan eksploitasi aktif di lapangan hingga pertengahan Januari, tetapi analis keamanan memperingatkan bahwa dengan terbukanya informasi ini, peretas kemungkinan akan melakukan serangkaian uji coba untuk menemukan dan menyerang situs yang belum diperbarui. Oleh karena itu, pengguna sangat dianjurkan untuk segera memperbarui plugin ACF: Extended mereka guna menghindari kerugian akibat pembobolan.
Untuk memastikan keamanan website, langkah-langkah mitigasi yang direkomendasikan termasuk:
- Segera perbarui plugin Advanced Custom Fields: Extended ke versi 0.9.2.2 atau lebih baru.
- Audit penggunaan formulir ‘Create User’ dan ‘Update User’ yang mengandung field peran.
- Batasi akses masuk pada level server apabila memungkinkan, terutama untuk form kritikal.
- Monitor aktivitas login dan perubahan pengguna secara rutin.
- Gunakan plugin keamanan tambahan untuk memantau upaya eskalasi hak akses.
Ancaman dari kerentanan ini menunjukkan kembali pentingnya menjaga plugin dan tema WordPress agar selalu diperbarui. Keamanan web bukan hanya tanggung jawab pengembang, tetapi juga pemilik dan pengelola situs. Penanganan cepat terhadap peringatan seperti CVE-2025-14533 sangat penting agar kerentanan serius tidak menjadi pintu masuk peretas mengambil alih situs secara penuh. Pemilik situs WordPress yang mengandalkan ACF: Extended disarankan untuk segera bertindak sebelum serangan aktif mulai meningkat.
