Plataforma
wordpress
Componente
advanced-custom-fields
Corrigido em
6.7.1
6.7.1
A vulnerabilidade CVE-2026-4812 afeta o plugin Advanced Custom Fields (ACF) para WordPress, permitindo a divulgação de dados sensíveis devido à falta de autorização adequada em consultas AJAX. Um atacante não autenticado com acesso a um formulário ACF pode enumerar e expor informações sobre posts rascunhos, tipos de posts restritos e outros dados que deveriam ser restritos por configuração. A vulnerabilidade afeta versões do ACF até a 6.7.0, sendo que uma correção foi lançada na versão 6.7.1.
A vulnerabilidade CVE-2026-4812 no plugin Advanced Custom Fields (ACF) para WordPress permite a divulgação não autorizada de informações sensíveis. Especificamente, os endpoints de consulta AJAX do ACF, até a versão 6.7.0, não validam adequadamente a autorização ao receber parâmetros de filtro fornecidos pelo usuário. Isso permite que atacantes não autenticados, com acesso a um formulário ACF no frontend, listem e divulguem detalhes de posts e páginas rascunho, privados ou restritos. A gravidade desta vulnerabilidade é classificada como 5.3 na escala CVSS, indicando um risco moderado. O acesso a essas informações confidenciais pode comprometer a integridade e a confidencialidade dos dados armazenados no WordPress, permitindo que os atacantes obtenham informações sobre conteúdo não publicado ou restrito, potencialmente incluindo dados pessoais ou informações estratégicas.
Um atacante poderia explorar esta vulnerabilidade se tiver acesso ao frontend de um site WordPress que utiliza o plugin ACF. O atacante poderia manipular os parâmetros de filtro nas solicitações AJAX para acessar informações sobre posts e páginas que normalmente não estariam visíveis para usuários não autenticados. Isso poderia envolver a criação de solicitações HTTP especialmente projetadas para contornar as restrições de acesso configuradas no ACF. A facilidade de exploração depende da configuração do site e da presença de formulários ACF no frontend. A falta de uma validação adequada da autorização nos endpoints de consulta AJAX do ACF facilita a exploração desta vulnerabilidade.
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A solução para mitigar a vulnerabilidade CVE-2026-4812 é atualizar o plugin Advanced Custom Fields (ACF) para a versão 6.7.1 ou superior. Esta atualização inclui as correções necessárias para validar adequadamente a autorização antes de processar os parâmetros de filtro fornecidos pelo usuário. Além disso, recomenda-se revisar e auditar as configurações dos campos ACF para garantir que as restrições de acesso estejam corretamente implementadas. Monitorar os registros do servidor em busca de atividades suspeitas relacionadas às consultas AJAX do ACF também pode ajudar a detectar e prevenir possíveis ataques. Implementar uma política de senhas robusta e manter o software do WordPress e seus plugins atualizados são práticas de segurança essenciais para reduzir o risco geral de vulnerabilidades.
Atualize para a versão 6.7.1, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
ACF é um plugin popular para WordPress que permite aos usuários criar campos personalizados para gerenciar o conteúdo de seus sites.
A atualização para a versão 6.7.1 ou superior corrige uma vulnerabilidade de segurança que poderia permitir que atacantes acessassem informações confidenciais.
Se não puder atualizar imediatamente, considere limitar o acesso aos formulários ACF no frontend e monitorar os registros do servidor em busca de atividades suspeitas.
Se você estiver usando uma versão do ACF anterior à 6.7.1, seu site é vulnerável a esta vulnerabilidade.
Sim, manter o WordPress e outros plugins atualizados, implementar uma política de senhas robusta e usar um firewall de aplicativos web são medidas de segurança adicionais que você pode tomar.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.