प्लेटफ़ॉर्म
wordpress
घटक
advanced-custom-fields
में ठीक किया गया
6.7.1
6.7.1
एडवांस्ड कस्टम फील्ड्स (ACF) वर्डप्रेस प्लगइन में एक अनधिकृत डेटा प्रकटीकरण भेद्यता पाई गई है। हमलावर, बिना प्रमाणीकरण के, फ़िल्टर मापदंडों का उपयोग करके प्रतिबंधित पोस्ट प्रकारों और अन्य डेटा को उजागर कर सकते हैं। यह भेद्यता ACF के संस्करण 6.7.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 6.7.1 में इस समस्या का समाधान किया गया है।
CVE-2026-4812 Advanced Custom Fields (ACF) प्लगइन में एक भेद्यता है जो अनधिकृत पहुंच के माध्यम से मनमाना पोस्ट/पृष्ठ प्रकटीकरण की अनुमति देती है। विशेष रूप से, ACF के AJAX फ़ील्ड क्वेरी एंडपॉइंट, संस्करण 6.7.0 तक, उपयोगकर्ता द्वारा प्रदान किए गए फ़िल्टर पैरामीटर प्राप्त करते समय उचित प्राधिकरण सत्यापन नहीं करते हैं। यह अनधिकृत हमलावरों को फ्रंटएंड ACF फॉर्म तक पहुंच प्राप्त करने की अनुमति देता है, जिससे वे ड्राफ्ट/निजी पोस्ट, प्रतिबंधित पोस्ट आदि के बारे में जानकारी सूचीबद्ध और प्रकट कर सकते हैं। इस भेद्यता के लिए CVSS स्कोर 5.3 है, जो मध्यम जोखिम का संकेत देता है। इस भेद्यता का सफलतापूर्वक शोषण करने से संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है, जिससे WordPress साइट की गोपनीयता और अखंडता से समझौता हो सकता है।
यदि किसी हमलावर के पास ACF प्लगइन का उपयोग करने वाले WordPress वेबसाइट के फ्रंटएंड तक पहुंच है, तो वह इस भेद्यता का शोषण कर सकता है। हमलावर AJAX अनुरोधों में फ़िल्टर पैरामीटर को हेरफेर करके आमतौर पर अनधिकृत उपयोगकर्ताओं के लिए दुर्गम पोस्ट और पृष्ठों के बारे में जानकारी तक पहुंच सकता है। इसमें विशेष रूप से डिज़ाइन किए गए HTTP अनुरोधों को बनाने की आवश्यकता हो सकती है ताकि ACF में कॉन्फ़िगर किए गए एक्सेस प्रतिबंधों को दरकिनार किया जा सके। शोषण की आसानी वेबसाइट के कॉन्फ़िगरेशन और फ्रंटएंड पर ACF फ़ॉर्म की उपस्थिति पर निर्भर करती है। ACF के AJAX क्वेरी एंडपॉइंट में उचित प्राधिकरण सत्यापन की कमी इस भेद्यता के शोषण को आसान बनाती है।
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-4812 के लिए अनुशंसित शमन Advanced Custom Fields (ACF) प्लगइन को संस्करण 6.7.1 या उच्चतर में अपडेट करना है। इस अपडेट में उपयोगकर्ता द्वारा प्रदान किए गए फ़िल्टर पैरामीटर को संसाधित करने से पहले उचित प्राधिकरण सत्यापन करने के लिए आवश्यक फिक्स शामिल हैं। इसके अतिरिक्त, एक्सेस प्रतिबंधों को सही ढंग से लागू किया गया है यह सुनिश्चित करने के लिए ACF फ़ील्ड कॉन्फ़िगरेशन की समीक्षा और ऑडिट करना चाहिए। ACF AJAX क्वेरी से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की निगरानी भी संभावित हमलों का पता लगाने और रोकने में मदद कर सकती है। एक मजबूत पासवर्ड नीति लागू करना और WordPress और उसके प्लगइन्स को अपडेट रखना समग्र भेद्यता जोखिम को कम करने के लिए महत्वपूर्ण सुरक्षा अभ्यास हैं।
संस्करण 6.7.1 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ACF एक लोकप्रिय WordPress प्लगइन है जो उपयोगकर्ताओं को अपनी वेबसाइट की सामग्री को प्रबंधित करने के लिए कस्टम फ़ील्ड बनाने की अनुमति देता है।
संस्करण 6.7.1 या उच्चतर में अपडेट करने से एक सुरक्षा भेद्यता ठीक हो जाती है जो हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है।
यदि आप तुरंत ACF को अपडेट नहीं कर सकते हैं, तो फ्रंटएंड पर ACF फ़ॉर्म तक पहुंच को सीमित करने और सर्वर लॉग में संदिग्ध गतिविधि की निगरानी करने पर विचार करें।
यदि आप ACF के 6.7.1 से पुराने संस्करण का उपयोग कर रहे हैं, तो आपकी वेबसाइट इस भेद्यता के प्रति कमजोर है।
हाँ, WordPress और अन्य प्लगइन्स को अपडेट रखना, एक मजबूत पासवर्ड नीति लागू करना और वेब एप्लिकेशन फ़ायरवॉल का उपयोग करना अतिरिक्त सुरक्षा उपाय हैं जो आप कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।