Advanced Custom Fields versión 6.3.6 ya está disponible

Esta versión contiene importantes correcciones de seguridad, junto con otras correcciones de errores y una nueva configuración de campo para marcar campos como accesibles para editores de contenido a través de Block Bindings o el ACF Shortcode.

Acceso al Valor del Campo en el Editor de Contenido

El shortcode de ACF es una forma para que los editores de contenido accedan a los valores de los campos de ACF al crear y mostrar contenido de publicaciones. Versiones recientes de ACF han realizado mejoras significativas en la seguridad del ACF Shortcode, y para avanzar en ello, el ACF Shortcode está desactivado de forma predeterminada para nuevas instalaciones de ACF 6.3.0 y posteriores. Sin embargo, permitir a los usuarios del sitio acceder a los datos de los campos en el editor requiere confianza y siempre tendrá un riesgo de seguridad inherente. Esto también es más un problema con las características recientes de WordPress como Block Bindings y Bits (que llegarán pronto).

Para soportar estas nuevas características de forma segura, y mejorar el nivel de seguridad del ACF Shortcode existente, ACF 6.3.6 introduce una nueva configuración a nivel de campo, Permitir Acceso al Valor en la Interfaz del Editor. Esta configuración marca un campo como permitido para que los editores accedan y utilicen el valor del campo dentro del contenido.

Por ejemplo, esto significa que los desarrolladores pueden permitir que ciertos campos sean accesibles mediante el ACF shortcode sin permitir que los editores de contenido accedan a campos utilizados en Páginas de Opciones internas a las que solo los administradores del sitio deberían acceder.

La configuración del campo se puede acceder editando el campo y navegando a la pestaña ‘Presentación’.

Para cualquier campo creado antes de ACF 6.3.6, la configuración está habilitada de forma predeterminada, coincidiendo con el comportamiento existente, pero para todos los campos nuevos agregados después, estará deshabilitada. Esto significa que al crear campos, deberás optar explícitamente por permitir a los editores de contenido acceder al campo. Esto no afectará a ningún acceso basado en código de valores, como the_field, get_field, o get_post_meta, y solo se aplica a cualquier método existente o futuro para acceder a los valores de los campos en el editor de contenido.

Recomendamos que después de actualizar a la versión 6.3.6, los usuarios de ACF revisen sus grupos de campos y campos y cambien la configuración a ‘off’ para cualquier campo que contenga información sensible, especialmente para aquellos campos adjuntos a Páginas de Opciones o usuarios.

Conclusión

Por favor, encuentra las notas de la versión a continuación. Y para las últimas noticias de ACF, síguenos en Twitter.

Nos tomamos la seguridad de ACF muy en serio y siempre estamos trabajando para proteger a nuestros usuarios. Si has descubierto una vulnerabilidad en el código o tienes un problema de seguridad, por favor consulta nuestra página de Seguridad para más información.

Registro de Cambios

• Seguridad – Los campos recién agregados ahora deben configurarse explícitamente para permitir el acceso en el editor de contenido (cuando se utiliza el ACF Shortcode o Block Bindings) para aumentar la seguridad en torno a los permisos de los campos
• Corrección de Seguridad – Las etiquetas de los campos ahora se escapan correctamente al renderizar en el editor de Grupo de Campos, para evitar un posible problema de XSS. Gracias a Ryo Sotoyama de Mitsui Bussan Secure Directions, Inc. por la divulgación responsable
• Corrección – Los nonces de validación y solicitudes AJAX de bloque ya no serán anulados por complementos de terceros
• Corrección – La detección de bibliotecas select2 de terceros ahora se establecerá de forma predeterminada en v4 en lugar de v3
• Corrección – Las vistas previas de bloques mostrarán un error si no se encuentra el archivo PHP de plantilla de representación

El post ACF 6.3.6 Security Release apareció primero en ACF.

Consulta el artículo original para más información: https://www.advancedcustomfields.com/blog/acf-6-3-6/.

En Zonsai, te ayudamos a mantener tu web actualizada y segura.