高级自定义字段 (ACF) 最近修补了 5.12.1 版本中的一个缺失授权漏洞,该漏洞可能影响超过一百万用户。该安全问题是由 Ierae Security, Inc 的 Keitaro Yamazaki 发现的,他将其报告给了信息技术促进机构 (IPA)。
根据CVE记录信息,该漏洞影响所有ACF 5.12.1之前的免费版本和ACF Pro 5.12.1之前的版本。它允许远程经过身份验证的攻击者在没有正确访问权限的情况下查看数据库上的信息。国家漏洞数据库对该特定漏洞的评分为 6.5 中。
ACF 产品经理 Iain Poulson 解释说,有一些必要条件使攻击成为可能。
“特别是,攻击者必须已经在网站上拥有贡献者级别或更高级别的帐户,因此他们很可能是网站所有者认识的人,”波尔森说。 “要使攻击成功,还必须具备许多其他条件。我不想详细说明这些条件究竟是什么,因为提供这些信息只会增加有人去寻找符合这些规范的少数网站之一的机会。”
ACF 于 2022 年 3 月 23 日发布了补丁版本 (5.12.1),但该插件的 200 万用户中的大多数 (~70%) 仍在运行旧版本,因此可能有超过 100 万用户处于脆弱状态。
ACF 的变更日志记录了版本 5.12.1 中的修复,但没有明确将其标识为安全修复。该插件的博客和 Twitter 帐户没有宣布更新,因此用户可能不知道他们的网站存在漏洞。
ACF 代表没有回应我们关于为什么它没有在变更日志中指定为安全修复的评论请求。对于可能关闭自动更新的站点,日本计算机应急响应小组协调中心 (JPCERT/CC) 和 ACF 小组建议用户更新到最新版本以保护他们的站点。
本站的Advanced Custom Fields PRO也更新到了5.12.2。
