“100,000 Sitios de WordPress en Peligro por una Vulnerabilidad de Ejecución Remota de Código en el Plugin Avanzado de Campos Personalizados”
Un Riesgo Potencial: Vulnerabilidad de Ejecución Remota de Código en Advanced Custom Fields: Extended
El 18 de noviembre de 2025, se identificó una grave vulnerabilidad de ejecución remota de código no autenticada en el plugin Advanced Custom Fields: Extended, utilizado por más de 100,000 sitios de WordPress. Esta vulnerabilidad permite a los atacantes ejecutar código de forma remota, lo que plantea un riesgo serio para la seguridad de los sitios afectados.
Reconocimiento al Investigador
La vulnerabilidad fue descubierta y reportada de manera responsable por dudekmar a través del Programa de Recompensas por Errores de Wordfence. Gracias a esta alerta, se le otorgó una recompensa de $4,290.00. Nuestra misión es asegurar WordPress mediante una defensa en profundidad, lo que implica invertir en investigación de vulnerabilidades y colaborar con investigadores de este calibre.
Actualizaciones de Seguridad al Instante
Para proteger a nuestros usuarios, el 20 de noviembre de 2025, los suscriptores de Wordfence Premium, Wordfence Care, y Wordfence Response recibieron una regla de firewall para mitigar cualquier posible explotación de esta vulnerabilidad. Los usuarios de la versión gratuita tendrán la misma protección a partir del 20 de diciembre de 2025.
Comunicación Rápida con el Equipo de ACF Extended
El mismo día de la detección, proporcionamos detalles completos sobre la vulnerabilidad al equipo de ACF Extended a través de nuestro Portal de Gestión de Vulnerabilidades de Wordfence. Gracias a su ágil respuesta, el parche se lanzó al día siguiente, el 21 de noviembre de 2025.
Resumen de la Vulnerabilidad
La vulnerabilidad surge debido a que la función prepare_form() utiliza la entrada del usuario sin las debidas restricciones, permitiendo que atacantes no autenticados ejecuten código arbitrario en el servidor. Esto puede ser aprovechado para inyectar puertas traseras o crear cuentas de usuario administrativas.
Detalles Técnicos del Análisis
Advanced Custom Fields: Extended es un plugin que amplía las funcionalidades del plugin Advanced Custom Fields. Al analizar el código, se revela que la función prepare_form() es susceptible a esta vulnerabilidad.
function prepare_form($form){
// ...
call_user_func_array($form['render'], array($form));
Esta función toma un parámetro de entrada que puede ser manipulado por un atacante, habilitando la ejecución de funciones PHP arbitrarias. Un ejemplo de explotación sería la creación de un nuevo usuario administrador mediante wp_insert_user().
Como ocurre con todas las vulnerabilidades de ejecución remota de código, esto puede llevar a un compromiso total del sitio mediante técnicas como el uso de webshells.
El Parche Implementado
El equipo de ACF Extended abordó esta vulnerabilidad eliminando completamente la parte vulnerable relacionada con la entrada del usuario en la función prepare_form().
Cronología de Divulgación
18 de noviembre de 2025 – Informe inicial sobre la vulnerabilidad sometido.
20 de noviembre de 2025 – Confirmación y validación del exploit.
20 de noviembre de 2025 – Implementación de medidas de protección para usuarios de Wordfence.
20 de noviembre de 2025 – Reporte enviado al proveedor.
21 de noviembre de 2025 – Lanzamiento del parche en la versión 0.9.2.
Conclusión
La vulnerabilidad de ejecución remota de código en el plugin https://www.wordfence.com/blog/2025/12/100000-wordpress-sites-affected-by-remote-code-execution-vulnerability-in-advanced-custom-fields-extended-wordpress-plugin/
Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.
