Platform
wordpress
Component
advanced-custom-fields
Opgelost in
6.7.1
6.7.1
De Advanced Custom Fields (ACF) plugin voor WordPress is kwetsbaar voor een Missing Authorization Disclosure. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om informatie te onthullen over concept- of private posts, beperkte posttypes en andere data die door veldconfiguraties beschermd zouden moeten worden. De kwetsbaarheid treedt op in versies tot en met 6.7.0, door AJAX-eindpunten die filterparameters accepteren zonder adequate autorisatiecontroles. Een patch is beschikbaar in versie 6.7.1.
CVE-2026-4812 in de Advanced Custom Fields (ACF) plugin voor WordPress maakt een Missing Authorization to Arbitrary Post/Page Disclosure kwetsbaarheid mogelijk. Specifiek, de AJAX veld query endpoints van ACF, tot versie 6.7.0, valideren de autorisatie niet correct wanneer gebruikers-ingevoerde filterparameters worden ontvangen. Dit stelt ongeauthentiseerde aanvallers met toegang tot een frontend ACF formulier in staat om informatie over concepten, privé of beperkte posts en pagina's te inventariseren en te onthullen. De CVSS score voor deze kwetsbaarheid is 5.3, wat een matig risico aangeeft. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot vertrouwelijke gegevens, waardoor de integriteit en vertrouwelijkheid van de WordPress site in gevaar komt.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren als hij toegang heeft tot de frontend van een WordPress website die de ACF plugin gebruikt. Hij zou filterparameters in AJAX verzoeken kunnen manipuleren om toegang te krijgen tot informatie over posts en pagina's die normaal gesproken niet toegankelijk zouden zijn voor ongeauthentiseerde gebruikers. Dit kan het creëren van speciaal ontworpen HTTP verzoeken inhouden om toegangsbeperkingen te omzeilen die in ACF zijn geconfigureerd. De mate van exploitatiegemak hangt af van de configuratie van de website en de aanwezigheid van ACF formulieren in de frontend. Het ontbreken van een correcte autorisatievalidatie in de ACF AJAX query endpoints vergemakkelijkt de exploitatie.
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor CVE-2026-4812 is het updaten van de Advanced Custom Fields (ACF) plugin naar versie 6.7.1 of hoger. Deze update bevat de nodige fixes om de autorisatie correct te valideren voordat gebruikers-ingevoerde filterparameters worden verwerkt. Controleer en auditeer bovendien ACF veldconfiguraties om ervoor te zorgen dat toegangsbeperkingen correct zijn geïmplementeerd. Het monitoren van server logs op verdachte activiteiten gerelateerd aan ACF AJAX queries kan ook helpen bij het detecteren en voorkomen van potentiële aanvallen. Het implementeren van een sterk wachtwoordbeleid en het up-to-date houden van WordPress en zijn plugins zijn essentiële beveiligingspraktijken om het algehele risico op kwetsbaarheden te verminderen.
Update naar versie 6.7.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ACF is een populaire WordPress plugin waarmee gebruikers aangepaste velden kunnen maken om de inhoud van hun websites te beheren.
Het updaten naar versie 6.7.1 of hoger corrigeert een beveiligingskwetsbaarheid die aanvallers in staat zou kunnen stellen om toegang te krijgen tot gevoelige informatie.
Als u ACF niet onmiddellijk kunt updaten, overweeg dan om de toegang tot ACF formulieren in de frontend te beperken en de server logs te monitoren op verdachte activiteiten.
Als u een versie van ACF gebruikt die ouder is dan 6.7.1, is uw website kwetsbaar voor deze kwetsbaarheid.
Ja, het up-to-date houden van WordPress en andere plugins, het implementeren van een sterk wachtwoordbeleid en het gebruik van een webapplicatiefirewall zijn aanvullende beveiligingsmaatregelen die u kunt nemen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.