WordPress脆弱性情報：Advanced Custom Fieldsプラグイン

WordPressプラグインの脆弱性情報です。

Advanced Custom Fields (ACF)プラグインに、高リスクな脆弱性存在の報告

Advanced Custom Fields (ACF)プラグインにおいて、脆弱性の存在が確認されました。

ACFは有効ダウンロード数200万件を超える超人気プラグインです。投稿画面に簡単に好きなタイプのカスタムフィールドを作成し挿入できるようにするものです。

開示された脆弱性はCVSS 3.1スコア8.8（Wordfence）とされており、ハイリスクなものです。

開示された脆弱性の内容はPHPオブジェクトインジェクションで、寄稿者以上の認証レベルの攻撃者により実行できるものです。

寄稿者以上の認証レベルとは、スラッグ: ‘contributor’のユーザー（自身の投稿を編集・管理できるが、公開はできないユーザー）以上の権限を持つユーザーとなります。例えば、購読者や登録なしで閲覧するユーザーについては、この脆弱性の悪用はできないのですが、他の脆弱性と組み合わせて権限昇格等を行った場合危険です。

影響を受けるバージョン

影響を受けるバージョンは5.12.4以前のバージョン、バージョン6系では6.0.0 – 6.0.7です。

完全パッチバージョン

脆弱性の存在箇所について修正がなされたバージョンは、バージョン5.12.5、バージョン6系では6.1.0です。

CVE ID

CVE-2023-1196

今回脆弱性が報告されたプラグインのページはこちらです。

参考サイト：　Wordfence・脆弱性情報