CVE-2026-12428 in Blocks for ACF Fields Plugininformation

Résumé

par VulDB • 09/07/2026

Le plugin Blocks for ACF Fields pour WordPress est vulnérable à un accès non autorisé aux données en raison d'une vérification des capacités manquante dans la fonction get_all_values() sur le point de terminaison REST /wp-json/acf-field-blocks/v1/values, dans les versions 1.6.2 et antérieures. Le permission_callback ne vérifie que la capacité générique publish_posts, et le gestionnaire transmet directement un paramètre id fourni par l'utilisateur à get_field_objects() sans vérifier si l'utilisateur demandeur est autorisé à lire l'objet cible. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Auteur ou supérieur de lire les valeurs des champs ACF depuis n'importe quel article (y compris les articles privés, les brouillons, les articles d'autres utilisateurs et autres objets pris en charge par ACF) auxquels ils ne devraient pas avoir accès.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

16/06/2026

Divulgation

09/07/2026

Modérer

accepté

Entrée

VDB-377178

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!