آسیب پذیری پلاگین وردپرس ACF تا +۲ میلیون سایت را تحت تأثیر قرار می دهد

آسیب‌پذیری مجوز وجود ندارد … به مهاجم تأیید شده از راه دور اجازه می‌دهد تا اطلاعات موجود در پایگاه داده را بدون مجوز دسترسی مشاهده کند. این نوع آسیب‌پذیری به مهاجم اجازه می‌دهد تا در سطوحی به سایت دسترسی پیدا کند که معمولاً به کاربران دارای امتیازات مدیریت محدود می‌شود.

افزونه وردپرس Advanced Custom Fields (ACF)

افزونه ACF WordPress یک ابزار توسعه محبوب است که به توسعه دهندگان امکان می دهد فیلدهای سفارشی را به صفحه ویرایش اضافه کنند و همچنین بخش ها را برای کاربران، پست ها، رسانه ها و سایر مناطق سفارشی کنند.

ابزار ACF به توسعه دهندگان این امکان را می دهد که تم های وردپرس را به طرق مختلف گسترش دهند، که توضیح می دهد که چرا میلیون ها نصب فعال وجود دارد.

آسیب پذیری مجوز وجود ندارد

یک آسیب‌پذیری مجوز از دست رفته زمانی اتفاق می‌افتد که نرم‌افزاری مانند افزونه وردپرس مجوز کاربر را هنگام دسترسی به اطلاعات خاص بررسی نمی‌کند.

این نوع آسیب‌پذیری می‌تواند منجر به افشای اطلاعات حساس و حملات اجرای کد از راه دور شود.

مهاجم احراز هویت از راه دور

این آسیب‌پذیری خاص از یک بررسی مجوز از دست رفته برای کاربرانی که سطحی از احراز هویت دارند سوء استفاده می‌کند.

این بدان معناست که کاربرانی که حداقل دارای سطح احراز هویت ویرایشگر، نویسنده یا مشارکت‌کننده هستند، می‌توانند به امتیاز سطح سرپرست برای مشاهده اطلاعات پایگاه داده دسترسی داشته باشند.

طبق جدیدترین اطلاعات تیم پاسخ اضطراری کامپیوتری ژاپن مرکز هماهنگی:

“افزونه WordPress “Advanced Custom Fields” ارائه شده توسط Delicious Brains حاوی یک آسیب پذیری مجوز نیست…

کاربران این محصول (ویراستار، نویسنده، مشارکت‌کننده) می‌توانند اطلاعات موجود در پایگاه داده را بدون اجازه دسترسی مشاهده کنند.»

پایگاه ملی آسیب‌پذیری ایالات متحده یک شماره مرجع CVE به آن اختصاص داده است، CVE-2022-23183

ACF Changelog

تغییر گزارش گزارشی است که تمام تغییرات هر نسخه از یک نرم افزار را به تفصیل شرح می دهد.

تشخیص اینکه کدام یک از تغییرات تفصیلی در لاگ تغییرات مربوط به رفع آسیب‌پذیری است دشوار است، زیرا تغییرات ACF به صراحت نمی‌گوید که چیزی یک تعمیر امنیتی است، فقط آنها را به عنوان «اصلاح» برچسب‌گذاری می‌کند. >.”

تغییر لاگ افزونه ACF WordPress به صراحت اشاره نمی کند که یک مشکل امنیتی حل شده است.

بخشی از تغییرات ACF به سادگی بیان می‌کند:

«اصلاح – ACF اکنون دسترسی به مقادیر فیلد صفحه گزینه را هنگام دسترسی از طریق کلیدهای فیلد به همان روشی که نام فیلدها انجام می دهد تأیید می کند. مشاهده بیشتر
رفع – REST API اکنون به درستی فیلدها را برای درخواست‌های به‌روزرسانی POST تأیید می‌کند”

پیوند «مشاهده بیشتر» به توضیحی در وب‌سایت ACF منتهی می‌شود که می‌گوید:

“…تماس‌های get_field() یا the_field() در گزینه‌های غیر ACF WordPress نیز تهی می‌شوند. با این حال، استفاده از این توابع برای بازیابی هر پست، کاربر یا متای اصطلاح، بدون توجه به اینکه متا یک فیلد ACF باشد، مقدار را برمی‌گرداند.

…در ACF 5.12.1، این محدودیت‌ها اکنون به درستی در هنگام استفاده از کلید فیلد برای دسترسی به مقدار گزینه، مانند استفاده از نام فیلد، اعمال می‌شوند.”
“استفاده از توابع ACF برای بازیابی داده ها از خارج ACF.”

آسیب‌پذیری Advanced Custom Fields Patch شده است

آسیب‌پذیری ACF همه نسخه‌های قبل از Advanced Custom Fields 5.12.1 و Advanced Custom Fields Pro 5.12.1 را تحت تأثیر قرار می‌دهد.

مرکز هماهنگی تیم واکنش اضطراری رایانه ژاپن به همه کاربران افزونه توصیه می‌کند فوراً به نسخه ۵.۱۲.۱ ACF به‌روزرسانی شوند.