平台
wordpress
组件
advanced-custom-fields
修复版本
6.7.1
6.7.1
CVE-2026-4812 是 WordPress Advanced Custom Fields (ACF) 插件中的一个权限绕过漏洞,允许未经授权的用户访问受限制的帖子和数据。攻击者可以通过修改 AJAX 字段查询端点的参数,绕过字段配置的限制,从而泄露敏感信息。该漏洞影响 ACF 插件 0.0.0 到 6.7.0 版本,已于 6.7.1 版本修复。
CVE-2026-4812 漏洞存在于 WordPress 的 Advanced Custom Fields (ACF) 插件中,允许未经授权访问任意帖子/页面信息。具体来说,ACF 的 AJAX 字段查询端点在版本 6.7.0 之前,在接收用户提供的过滤器参数时,未能进行适当的授权验证。这使得未经身份验证的攻击者可以通过访问前端 ACF 表单,枚举并泄露草稿/私有帖子、受限帖子等信息。该漏洞的 CVSS 评分是 5.3,表明存在中等风险。成功利用该漏洞可能导致未经授权访问敏感数据,从而损害 WordPress 站点的机密性和完整性。
如果攻击者可以访问使用 ACF 插件的 WordPress 网站的前端,则他们可以利用此漏洞。他们可以通过操作 AJAX 请求中的过滤器参数来访问通常无法为未经身份验证的用户访问的帖子和页面的信息。这可能涉及创建专门设计的 HTTP 请求来绕过 ACF 中配置的访问限制。利用的难易程度取决于网站的配置以及前端是否存在 ACF 表单。ACF AJAX 查询端点中缺乏适当的授权验证使得利用该漏洞更容易。
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
针对 CVE-2026-4812 漏洞的建议缓解措施是将 Advanced Custom Fields (ACF) 插件更新到版本 6.7.1 或更高版本。此更新包含必要的修复程序,以在处理用户提供的过滤器参数之前正确验证授权。此外,还应审查和审计 ACF 字段配置,以确保访问限制已正确实施。监控服务器日志中与 ACF AJAX 查询相关的可疑活动也有助于检测和防止潜在攻击。实施强大的密码策略并保持 WordPress 及其插件的最新状态是降低整体漏洞风险的重要安全实践。
更新到版本6.7.1或更高版本。
漏洞分析和关键警报直接发送到您的邮箱。
ACF 是一个流行的 WordPress 插件,允许用户创建自定义字段来管理其网站的内容。
更新到版本 6.7.1 或更高版本可以修复一个安全漏洞,该漏洞可能允许攻击者访问敏感信息。
如果无法立即更新,请考虑限制前端 ACF 表单的访问,并监控服务器日志中是否存在可疑活动。
如果您使用的是低于 6.7.1 的 ACF 版本,则您的网站容易受到此漏洞的攻击。
是的,保持 WordPress 和其他插件的最新状态、实施强大的密码策略以及使用 Web 应用程序防火墙是您可以采取的其他安全措施。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。