ACF 5.12.1 Patches Missing Authorization Schwachstelle – WP Tavern

8. April 2022
ACF 5.12.1 Patches Missing Authorization Schwachstelle – WP Tavern

Erweiterte benutzerdefinierte Felder (ACF) hat kürzlich eine fehlende Autorisierungsschwachstelle in Version 5.12.1 gepatcht, die potenziell mehr als eine Million Benutzer betrifft. Die Sicherheit ausstellen wurde von Keitaro Yamazaki von Ierae Security, Inc. entdeckt, der es der Agentur zur Förderung der Informationstechnologie (IPA).

Gemäß der CVE-Eintragsinformationenbetrifft die Sicherheitsanfälligkeit alle kostenlosen Versionen von ACF vor 5.12.1 und ACF Pro-Versionen vor 5.12.1. Es ermöglicht einem remote authentifizierten Angreifer, die Informationen in der Datenbank ohne die richtige Zugriffsberechtigung anzuzeigen. Die National Vulnerability Database gibt dieser speziellen Sicherheitsanfälligkeit eine 6.5 Mittel Punktzahl.

ACF-Produktmanager Iain Poulson erklärte, dass bestimmte Bedingungen notwendig sind, um einen Angriff zu ermöglichen.

"Insbesondere müsste der Angreifer bereits ein Konto auf der Website auf Mitwirkendenebene oder höher besitzen, so dass er wahrscheinlich jemand wäre, der den Eigentümern der Website bekannt ist", sagte Poulson. "Es gibt eine Reihe anderer Bedingungen, die alle vorhanden sein müssten, damit der Angriff erfolgreich ist. Ich möchte lieber nicht im Detail darauf eingehen, was genau diese Bedingungen sind, da die Bereitstellung dieser Informationen nur die Chancen erhöht, dass jemand nach einer der wenigen Websites sucht, die diesen Spezifikationen entspricht. "

ACF veröffentlichte die gepatchte Version (5.12.1) am 23. März 2022, aber die Mehrheit der zwei Millionen Benutzer des Plugins (~ 70%) läuft immer noch auf älteren Versionen, so dass potenziell mehr als eine Million Benutzer anfällig sind.

ACF Aktive Versionen am 08.04.2022

Das Changelog von ACF weist auf den Fix in Version 5.12.1 hin, identifiziert ihn jedoch nicht explizit als Sicherheitsfix. Der Blog und die Twitter-Konten des Plugins haben das Update nicht angekündigt, so dass die Benutzer möglicherweise nicht wissen, dass ihre Websites anfällig sind.

ACF-Vertreter reagierten nicht auf unsere Bitte um Stellungnahme, warum es nicht als Sicherheitsfix in der Änderungsprotokoll. Für Standorte, an denen automatische Updates deaktiviert sind, das Japan Computer Emergency Response Team Coordination Center (JPCERT/CC) und das ACF-Team Empfehlen Benutzer aktualisieren auf die neueste Version, um ihre Websites zu schützen.

Quelle


Dieser Artikel ist im Original von wptavern.com und wurde übersetzt
https://wptavern.com/acf-5-12-1-patches-missing-authorization-vulnerability

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung