小程序代理加盟外贸建站,就用成品站模板

Advanced Custom Fields 5.12.1 修复缺失授权漏洞,请尽快更新

维翔主机 - 老牌WordPress空间

Advanced Custom Fields (简称 ACF)  是一个非常优秀的WordPress自定义字段插件,非常多的开发者使用这个插件来为网站添加额外的选项字段,安装量达到了200万以上。

Advanced Custom Fields 最近修补了 5.12.1 版本中的一个缺失授权漏洞,该漏洞可能影响超过一百万用户。该安全问题是由 Ierae Security, Inc 的 Keitaro Yamazaki 发现的,他将其报告给了信息技术促进机构(IPA)。

根据CVE记录信息,该漏洞影响所有ACF 5.12.1之前的所有免费版和收费版本它允许远程经过身份验证的攻击者在没有正确访问权限的情况下查看数据库上的信息。国家漏洞数据库对该特定漏洞的评分为6.5 中等。

ACF 产品经理 Iain Poulson 解释说,有一些必要条件使攻击成为可能。

“特别是,攻击者必须已经在网站上拥有贡献者级别或更高级别的帐户,因此他们很可能是网站所有者认识的人,”Poulson 说。“要使攻击成功,还必须具备许多其他条件。我不想详细说明这些条件是什么,因为提供这些信息只会增加有人去寻找符合这些规范的少数网站之一的机会。”

Advanced Custom Fields 于 2022 年 3 月 23 日发布了修补版本 (5.12.1),但该插件的 200 万用户中的大多数 (约 70%) 仍在运行旧版本,因此可能有超过 100 万用户易受攻击。

ACF 的变更日志记录了版本 5.12.1 中的修复,但没有明确将其标识为安全修复。该插件的博客和 Twitter 帐户没有宣布更新,因此用户可能不知道他们的网站存在漏洞。

ACF 代表没有回应我们关于为什么它没有在变更日志中指定为安全修复的评论请求。对于可能关闭自动更新的站点,强烈建议用户更新到最新版本以保护他们的站点。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
15个WordPress主题,仅需499元!
WordPress资讯

Gutenberg 12.9 添加块锁定 UI、自动样板注册和完整主题导出

2022-3-31 18:38:34

WordPress资讯

WordPress 6.0 取消原定默认采用 WebP 图片的方案

2022-4-14 8:42:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索