В плагине Advanced Custom Fields: Extended (версии 0.9.0.5–0.9.1.1) обнаружена неавторизованная RCE‑уязвимость в функции prepare_form, позволяющая удалённо выполнять произвольный PHP‑код и, например, создавать админ‑аккаунты или внедрять бэкдоры, то есть полностью захватывать сайт. Уязвимость получила CVE-2025-13486 с критическим рейтингом 9.8, для её защиты Wordfence выпустил правило файрвола 20 ноября 2025 года, а разработчик плагина оперативно исправил проблему в версии 0.9.2.
Рекомендации для админов:
Срочно обновить ACF Extended до версии 0.9.2 или новее на всех проектах.
Проверить наличие Wordfence (или другого WAF), включить актуальные сигнатуры и просмотреть логи на подозрительную активность и новых админ‑пользователей.
