高级自定义字段 (ACF) 最近修复了 5.12.1 版中的一个缺失授权漏洞,该漏洞可能会影响超过 100 万用户。该安全问题由 Ierae Security, Inc 的 Keitaro Yamazaki 发现,并报告给了信息技术促进机构 (IPA)。
根据CVE记录信息,该漏洞影响所有ACF 5.12.1之前的免费版本和ACF Pro 5.12.1之前的版本。它允许经过身份验证的远程攻击者在没有适当访问权限的情况下查看数据库中的信息。国家漏洞数据库给这个特殊漏洞的评分是 6.5。
ACF 产品经理 Iain Poulson 解释说,有一些必要条件可以使攻击成为可能。
“具体而言,攻击者必须已经在网站上拥有贡献者级别或更高级别的帐户,因此他们很可能是网站所有者认识的人,”Poulson 说。 “攻击成功还必须满足许多其他条件。我不想详细说明这些条件是什么,因为提供这些信息只会增加某人找到少数几个网站之一的机会符合这些规范。”
ACF 于 2022 年 3 月 23 日发布了补丁版本 (5.12.1),但该插件的 200 万用户中的大多数(约 70%)仍在运行旧版本,因此可能有超过 100 万用户易受攻击。
2022 ACF 4月8日活动版
ACF 代表没有回应我们关于为何未将其指定为安全修复更新日志的评论请求。对于可能已关闭自动更新的站点,日本计算机应急响应小组协调中心 (JPCERT/CC) 和 ACF 小组建议用户更新到最新版本以保护他们的站点。
出处
