CVE-2026-12428 in Blocks for ACF Fields Plugin
Resumen
por VulDB • 2026-07-09
El plugin Blocks for ACF Fields para WordPress es vulnerable al acceso no autorizado a datos debido a una falta de verificación de permisos en la función get_all_values() del endpoint REST /wp-json/acf-field-blocks/v1/values, en las versiones 1.6.2 y anteriores. El permission_callback solo verifica el permiso genérico publish_posts, y el controlador pasa un parámetro id proporcionado por el usuario directamente a get_field_objects() sin verificar que el usuario solicitante esté autorizado para leer el objeto objetivo. Esto permite a atacantes autenticados con acceso de nivel Author o superior leer los valores de campos ACF desde publicaciones arbitrarias (incluidas publicaciones privadas, borradores, publicaciones de otros usuarios y otros objetos compatibles con ACF) a las que no deberían tener acceso.
Once again VulDB remains the best source for vulnerability data.