CVE-2026-12428 in Blocks for ACF Fields Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 09.

WordPress용 Blocks for ACF Fields 플러그인은 1.6.2 버전 및 그 이전 버전에서 /wp-json/acf-field-blocks/v1/values REST 엔드포인트의 get_all_values() 함수에 대한 권한 확인 누락으로 인해 데이터에 대한 무단 접근이 가능한 취약점이 있습니다. permission_callback은 일반적인 publish_posts 능력(capability)만 검증하며, 핸들러는 요청한 사용자가 대상 객체를 읽을 수 있는 권한이 있는지 확인하지 않고 사용자 제공 id 매개변수를 직접 get_field_objects() 함수로 전달합니다. 이로써 Author 레벨 이상의 액세스 권한을 가진 인증된 공격자는 자신이 접근해서는 안 되는 임의의 게시글(비공개 게시글, 초안, 다른 사용자의 게시글 및 기타 ACF 지원 객체 포함)에서 ACF 필드 값을 읽을 수 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Wordfence

예약하다

2026. 06. 16.

모더레이션

수락

항목

VDB-377178

EPSS

0.00000

출처

Want to know what is going to be exploited?

We predict KEV entries!