CVE-2026-8382
ŚrednieCVSS 5.3Streszczenie
Wtyczka Advanced Custom Fields (ACF®) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 6.8.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonania akcji, co pozwala nieautoryzowanym atakującym na nadpisanie post_title i post_content dowolnego posta powiązanego z publicznie dostępną instancją acf_form().
Ocena ryzyka
Atakujący mogą zmieniać treść postów na stronie, co prowadzi do dezinformacji lub usunięcia ważnych danych. Może to również wpłynąć na reputację organizacji oraz zaufanie użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki ACF do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników oraz monitorować logi aktywności na stronie.
Oryginalny opis (angielski, źródło NVD)
The Advanced Custom Fields (ACF®) plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.8.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite the post_title and post_content of any post bound to a publicly accessible acf_form() instance by injecting values into the _post_title and _post_content parameters of a form submission request.

