Vulnerabilities ›

CVE-2026-4812

Medium

CWE-862 — Weakness Type

                    Published: Apr 15, 2026                      ·  Modified: Apr 18, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

The Advanced Custom Fields (ACF) plugin for WordPress is vulnerable to Missing Authorization to Arbitrary Post/Page Disclosure in versions up to and including 6.7.0. This is due to AJAX field query endpoints accepting user-supplied filter parameters that override field-configured restrictions without proper authorization checks. This makes it possible for unauthenticated attackers with access to a frontend ACF form to enumerate and disclose information about draft/private posts, restricted post types, and other data that should be restricted by field configuration.

🤖 AI Executive Summary

The Advanced Custom Fields WordPress plugin versions up to 6.7.0 contains an authorization bypass vulnerability allowing unauthenticated attackers to enumerate and disclose restricted post data through AJAX endpoints. Attackers can override field-configured restrictions to access draft, private, and restricted post information via frontend ACF forms.

📄 Description (Arabic)

ثغرة في إضافة Advanced Custom Fields للووردبريس تسمح للمهاجمين غير المصرح لهم بتجاوز قيود التفويض عبر نقاط نهاية AJAX. يمكن للمهاجمين تجاوز قيود الحقول المكونة للوصول إلى بيانات المنشورات المسودة والخاصة والمقيدة. تؤثر الثغرة على الإصدارات حتى 6.7.0 وتتطلب تحديثاً فورياً.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 02:38

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1199

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Advanced Custom Fields plugin to version 6.7.1 or later immediately. Implement additional authorization checks on all AJAX endpoints. Review and audit ACF form configurations to ensure proper field restrictions. Consider implementing Web Application Firewall rules to monitor suspicious AJAX field query patterns. Disable ACF frontend forms if not actively used.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Advanced Custom Fields إلى الإصدار 6.7.1 أو أحدث فوراً. طبق فحوصات تفويض إضافية على جميع نقاط نهاية AJAX. راجع وتدقق تكوينات نماذج ACF للتأكد من قيود الحقول الصحيحة. فكر في تطبيق قواعد جدار الحماية لتطبيقات الويب لمراقبة أنماط استعلامات حقول AJAX المريبة. عطل نماذج ACF الأمامية إذا لم تكن قيد الاستخدام النشط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 17

🔗

https://plugins.trac.wordpress.org/browser/advanced-custom-fields/tags/6.7.0/includes/f...

CVE-2026-4812

💬 Comments

Introduce Yourself