CVE-2026-12428 in Blocks for ACF Fields Plugininfo

Zusammenfassung

von VulDB • 09.07.2026

Das WordPress-Plugin „Blocks for ACF Fields“ ist anfällig für den unbefugten Zugriff auf Daten aufgrund einer fehlenden Berechtigungsprüfung in der Funktion `get_all_values()` im REST-Endpunkt `/wp-json/acf-field-blocks/v1/values` in Versionen bis einschließlich 1.6.2. Der `permission_callback` überprüft lediglich die generische Capability „publish_posts“, und der Handler übergibt einen vom Benutzer bereitgestellten ID-Parameter direkt an `get_field_objects()`, ohne zu verifizieren, dass der anfragende Nutzer berechtigt ist, das Zielobjekt zu lesen. Dies ermöglicht es authentifizierten Angreifern mit Autor-Level-Zugriff oder höher, ACF-Feldwerte aus beliebigen Beiträgen (einschließlich privater Beiträge, Entwürfe, Beiträge anderer Benutzer und anderer von ACF unterstützter Objekte) auszulesen, auf die sie keinen Zugriff haben sollten.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

16.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377178

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!