CVE-2026-12428 in Blocks for ACF Fields Pluginالمعلومات

الملخص

بحسب VulDB • 09/07/2026

يحتوي مكون WordPress "Blocks for ACF Fields" على ثغرة أمنية تسمح بالوصول غير المصرح به إلى البيانات بسبب عدم وجود فحص للصلاحيات (capability check) في الدالة `get_all_values()` ضمن نقطة نهاية REST `/wp-json/acf-field-blocks/v1/values` في الإصدارات حتى 1.6.2 وشاملة لها. يقتصر التحقق من الصلاحيات عبر `permission_callback` على صلاحية النشر العامة (`publish_posts`) فقط، بينما تمرر المعالجة (handler) معلمة معرف المستخدم المُدخلة مباشرةً إلى الدالة `get_field_objects()` دون التأكد مما إذا كان المستخدم الذي يطلب البيانات مخولاً بقراءة الكائن المستهدف. وهذا يتيح للمهاجمين المصادق عليهم الذين يمتلكون وصولًا بمستوى "مؤلف" (Author-level) فأعلى، قراءة قيم حقول ACF من منشورات عشوائية (بما في ذلك المنشورات الخاصة والمسودات ومنشورات المستخدمين الآخرين والكائنات الأخرى المدعومة بواسطة ACF) التي لا ينبغي أن يكون لديهم صلاحية الوصول إليها.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

Wordfence

حجز

16/06/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377178

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!