CVE-2026-12428 in Blocks for ACF Fields Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用プラグイン「Blocks for ACF Fields」には、バージョン1.6.2以前において、/wp-json/acf-field-blocks/v1/values RESTエンドポイント内のget_all_values()関数に適切な権限チェックが実装されていないため、データへの不正アクセスが可能となる脆弱性が存在します。permission_callbackは一般的なpublish_posts権限のみを確認しており、ハンドラはユーザーが入力したidパラメータを直接get_field_objects()へ渡す際に、要求元のユーザーが対象オブジェクトを読み取るための承認を受けているかどうかを検証していません。これにより、Author以上のアクセス権を持つ認証済み攻撃者は、自分にはアクセスすべきでない任意の投稿(プライベートな投稿、下書き、他のユーザーによる投稿、およびその他のACF対応オブジェクトを含む)からACFフィールド値を読み取ることが可能になります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.