CVE-2026-12428 in Blocks for ACF Fields Plugininformación

Resumen

por VulDB • 2026-07-09

El plugin Blocks for ACF Fields para WordPress es vulnerable al acceso no autorizado a datos debido a una falta de verificación de permisos en la función get_all_values() del endpoint REST /wp-json/acf-field-blocks/v1/values, en las versiones 1.6.2 y anteriores. El permission_callback solo verifica el permiso genérico publish_posts, y el controlador pasa un parámetro id proporcionado por el usuario directamente a get_field_objects() sin verificar que el usuario solicitante esté autorizado para leer el objeto objetivo. Esto permite a atacantes autenticados con acceso de nivel Author o superior leer los valores de campos ACF desde publicaciones arbitrarias (incluidas publicaciones privadas, borradores, publicaciones de otros usuarios y otros objetos compatibles con ACF) a las que no deberían tener acceso.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Reservar

2026-06-16

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377178

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!