高級自定義欄位 (ACF) 最近修復了 5.12.1 版本中的一個缺失授權漏洞,該漏洞可能影響超過一百萬用戶。 安全 問題 是由 Ierae Security, Inc 的 Keitaro Yamazaki 發現的,他向 信息技術促進局 (國際音標)。
根據 CVE記錄信息,該漏洞影響 5.12.1 之前的所有免費 ACF 版本和 5.12.1 之前的 ACF Pro 版本。 它允許遠程經過身份驗證的攻擊者在沒有正確訪問許可權的情況下查看資料庫上的信息。 國家漏洞資料庫為這個特定的漏洞提供了一個 6.5 中 分數。
ACF 產品經理 Iain Poulson 解釋說,有一些必要條件使攻擊成為可能。
「特別是,攻擊者必須已經在網站上擁有貢獻者級別或更高級別的帳戶,因此他們很可能是網站所有者認識的人,」Poulson 說。 「要使攻擊成功,還必須具備許多其他條件。 我不想詳細說明這些條件究竟是什麼,因為提供這些信息只會增加有人去尋找符合這些規範的少數網站之一的機會。」
ACF 於 2022 年 3 月 23 日發布了修補版本 (5.12.1),但該插件的 200 萬用戶中的大多數 (約 70%) 仍在運行舊版本,因此可能有超過 100 萬用戶易受攻擊。
ACF 的變更日誌記錄了版本 5.12.1 中的修復,但沒有明確將其標識為安全修復。 該插件的博客和 Twitter 帳戶沒有宣布更新,因此用戶可能不知道他們的網站存在漏洞。
ACF 代表沒有回應我們關於為什麼它沒有被指定為安全修復程序的評論請求 變更日誌. 對於可能關閉自動更新的站點,日本計算機應急響應小組協調中心 (JPCERT/CC) 和 ACF 小組 推薦 用戶更新到最新版本以保護他們的網站。