CVE-2026-12428 in Blocks for ACF Fields Plugin
Résumé
par VulDB • 09/07/2026
Le plugin Blocks for ACF Fields pour WordPress est vulnérable à un accès non autorisé aux données en raison d'une vérification des capacités manquante dans la fonction get_all_values() sur le point de terminaison REST /wp-json/acf-field-blocks/v1/values, dans les versions 1.6.2 et antérieures. Le permission_callback ne vérifie que la capacité générique publish_posts, et le gestionnaire transmet directement un paramètre id fourni par l'utilisateur à get_field_objects() sans vérifier si l'utilisateur demandeur est autorisé à lire l'objet cible. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Auteur ou supérieur de lire les valeurs des champs ACF depuis n'importe quel article (y compris les articles privés, les brouillons, les articles d'autres utilisateurs et autres objets pris en charge par ACF) auxquels ils ne devraient pas avoir accès.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.