الثغرات ›

CVE-2026-4812

متوسط

CWE-862 — نوع الضعف

                    نُشر: Apr 15, 2026                      ·  آخر تحديث: Apr 18, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Advanced Custom Fields (ACF) plugin for WordPress is vulnerable to Missing Authorization to Arbitrary Post/Page Disclosure in versions up to and including 6.7.0. This is due to AJAX field query endpoints accepting user-supplied filter parameters that override field-configured restrictions without proper authorization checks. This makes it possible for unauthenticated attackers with access to a frontend ACF form to enumerate and disclose information about draft/private posts, restricted post types, and other data that should be restricted by field configuration.

🤖 ملخص AI

The Advanced Custom Fields WordPress plugin versions up to 6.7.0 contains an authorization bypass vulnerability allowing unauthenticated attackers to enumerate and disclose restricted post data through AJAX endpoints. Attackers can override field-configured restrictions to access draft, private, and restricted post information via frontend ACF forms.

📄 الوصف (العربية)

ثغرة في إضافة Advanced Custom Fields للووردبريس تسمح للمهاجمين غير المصرح لهم بتجاوز قيود التفويض عبر نقاط نهاية AJAX. يمكن للمهاجمين تجاوز قيود الحقول المكونة للوصول إلى بيانات المنشورات المسودة والخاصة والمقيدة. تؤثر الثغرة على الإصدارات حتى 6.7.0 وتتطلب تحديثاً فورياً.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 02:38

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1199

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update Advanced Custom Fields plugin to version 6.7.1 or later immediately. Implement additional authorization checks on all AJAX endpoints. Review and audit ACF form configurations to ensure proper field restrictions. Consider implementing Web Application Firewall rules to monitor suspicious AJAX field query patterns. Disable ACF frontend forms if not actively used.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Advanced Custom Fields إلى الإصدار 6.7.1 أو أحدث فوراً. طبق فحوصات تفويض إضافية على جميع نقاط نهاية AJAX. راجع وتدقق تكوينات نماذج ACF للتأكد من قيود الحقول الصحيحة. فكر في تطبيق قواعد جدار الحماية لتطبيقات الويب لمراقبة أنماط استعلامات حقول AJAX المريبة. عطل نماذج ACF الأمامية إذا لم تكن قيد الاستخدام النشط.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 المراجع والمصادر 17

🔗

https://plugins.trac.wordpress.org/browser/advanced-custom-fields/tags/6.7.0/includes/f...

CVE-2026-4812

💬 التعليقات

عرّفنا بنفسك