CVE-2026-12428 in Blocks for ACF Fields Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用プラグイン「Blocks for ACF Fields」には、バージョン1.6.2以前において、/wp-json/acf-field-blocks/v1/values RESTエンドポイント内のget_all_values()関数に適切な権限チェックが実装されていないため、データへの不正アクセスが可能となる脆弱性が存在します。permission_callbackは一般的なpublish_posts権限のみを確認しており、ハンドラはユーザーが入力したidパラメータを直接get_field_objects()へ渡す際に、要求元のユーザーが対象オブジェクトを読み取るための承認を受けているかどうかを検証していません。これにより、Author以上のアクセス権を持つ認証済み攻撃者は、自分にはアクセスすべきでない任意の投稿(プライベートな投稿、下書き、他のユーザーによる投稿、およびその他のACF対応オブジェクトを含む)からACFフィールド値を読み取ることが可能になります。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

Wordfence

予約する

2026年06月16日

モデレーション

承諾済み

エントリ

VDB-377178

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!