CVE-2026-12428 in Blocks for ACF Fields Plugin
Сводка
по VulDB • 09.07.2026
Плагин Blocks for ACF Fields для WordPress уязвим к несанкционированному доступу к данным из-за отсутствия проверки прав доступа (capability check) в функции get_all_values() на REST-endpoint /wp-json/acf-field-blocks/v1/values в версиях вплоть до 1.6.2 включительно. Функция permission_callback проверяет только общую возможность publish_posts, а обработчик передает параметр id, предоставленный пользователем, напрямую в функцию get_field_objects() без проверки того, авторизован ли запрашивающий пользователь на чтение целевого объекта. Это позволяет атакующим с уровнем доступа Author и выше читать значения полей ACF из произвольных записей (включая приватные записи, черновики, записи других пользователей и другие объекты, поддерживаемые ACF), к которым у них не должно быть доступа.
Once again VulDB remains the best source for vulnerability data.