Advanced Custom Fields (ACF) недавно исправила отсутствующую уязвимость авторизации в версии 5.12.1, которая потенциально затрагивает более миллиона пользователей. Проблема безопасности была обнаружена Кейтаро Ямазаки из Ierae Security, Inc., который сообщил о ней в Агентство по продвижению информационных технологий (IPA).
Согласно информации записи CVE , уязвимость затрагивает все бесплатные версии ACF до 5.12.1 и версии ACF Pro до 5.12.1. Это позволяет удаленному злоумышленнику, прошедшему проверку подлинности, просматривать информацию в базе данных без надлежащего разрешения на доступ. Национальная база данных уязвимостей дает этой конкретной уязвимости средний балл 6,5.
Менеджер по продуктам ACF Иэн Поулсон объяснил, что существуют определенные условия, необходимые для того, чтобы атака стала возможной.
«В частности, злоумышленник должен уже иметь учетную запись на сайте на уровне участника или выше, поэтому он, вероятно, будет кем-то, известным владельцам сайта», — сказал Поулсон. «Есть ряд других условий, которые должны быть соблюдены, чтобы атака была успешной. Я бы не хотел вдаваться в подробности о том, что это за условия, поскольку предоставление этой информации только увеличивает шансы того, что кто-то отправится на поиски одного из немногих сайтов, соответствующих этим требованиям».
ACF выпустила исправленную версию (5.12.1) 23 марта 2022 года, но большинство из двух миллионов пользователей плагина (~ 70%) по-прежнему работают на более старых версиях, что потенциально делает уязвимыми более миллиона пользователей.
Журнал изменений ACF отмечает исправление в версии 5.12.1, но явно не идентифицирует его как исправление безопасности. Блог плагина и учетные записи Twitter не сообщали об обновлении, поэтому пользователи могут не знать, что их сайты уязвимы.
Представители ACF не ответили на нашу просьбу прокомментировать, почему это не было указано как исправление безопасности в журнале изменений . Для сайтов, на которых могут быть отключены автоматические обновления, Координационный центр группы реагирования на компьютерные чрезвычайные ситуации Японии (JPCERT/CC) и группа ACF рекомендуют пользователям выполнить обновление до последней версии для защиты своих сайтов.
