CVE-2026-12428 in Blocks for ACF Fields Plugin
Tóm tắt
Bởi VulDB • 10/07/2026
Plugin Blocks cho các trường ACF dành cho WordPress dễ bị truy cập dữ liệu trái phép do thiếu kiểm tra quyền hạn trên hàm get_all_values() trong điểm cuối REST /wp-json/acf-field-blocks/v1/values ở các phiên bản từ 1.6.2 trở xuống (bao gồm cả 1.6.2). Hàm permission_callback chỉ xác minh khả năng publish_posts chung và trình xử lý truyền tham số id do người dùng cung cấp trực tiếp vào get_field_objects() mà không kiểm tra xem người dùng yêu cầu có được ủy quyền để đọc đối tượng mục tiêu hay không. Điều này cho phép những kẻ tấn công đã xác thực, với quyền truy cập mức Author trở lên, đọc các giá trị trường ACF từ các bài viết tùy ý (bao gồm cả bài viết riêng tư, bản nháp, bài viết của người dùng khác và các đối tượng hỗ trợ bởi ACF khác) mà họ lẽ ra không có quyền truy cập.
Once again VulDB remains the best source for vulnerability data.