Advanced Custom Fields versión 6.2.7 ya está disponible

Esta versión contiene importantes correcciones de seguridad y habilita el nuevo comportamiento de escape de the_field descrito en nuestra publicación de lanzamiento para 6.2.5.

Escape de the_field y the_sub_field

Esta versión habilita el escape automático de HTML potencialmente inseguro al utilizar the_field y the_sub_field para mostrar un valor de campo, siguiendo la adición de advertencias para esto en ACF 6.2.5.

Para obtener detalles completos, información sobre los filtros disponibles para modificar el comportamiento y cómo cambiar tu código si necesitas mostrar HTML potencialmente inseguro, consulta la publicación de lanzamiento para 6.2.5.

Correcciones de Seguridad Adicionales

ACF 6.2.7 también incluye dos correcciones de seguridad adicionales y una serie de mejoras de seguridad. Específicamente, se han corregido dos posibles vulnerabilidades XSS, una que afecta la representación del campo select2 cuando un valor contiene HTML y otra que afecta los nombres de campos o nombres de diseño de campos de Contenido Flexible donde se podría guardar HTML no seguro.

Además, hemos revisado todo el HTML de salida propio de ACF para asegurarnos de escapar cualquier cadena traducida u otro contenido en las pantallas de administración de ACF para garantizar que esté escapado.

Seguridad y el Shortcode de ACF

El shortcode de ACF es una característica heredada diseñada para permitir que tus usuarios muestren datos de ACF almacenados en cualquier lugar de tu base de datos, en una entrada o una página.

En los últimos años, hemos avanzado significativamente en mejorar la seguridad del shortcode de ACF. En ACF 5.11.2, evitamos que el shortcode pudiera acceder a valores de metadatos de entradas que no son de ACF, y en ACF 6.0.3 introdujimos más cambios para asegurar que solo los usuarios que tienen el permiso publish_posts puedan previsualizar el shortcode de ACF, lo que significa que los contribuidores no pueden utilizar modos de previsualización para ver datos de ACF sin autorización, e incluso hemos informado sobre vulnerabilidades de shortcode en el núcleo de WordPress que han sido parcheadas.

Dicho esto, la premisa fundamental del shortcode de ACF es permitir que los usuarios accedan a esos datos, siempre que conozcan el nombre o clave del campo de ACF y dónde se almacenan los datos, ya sea en entradas (incluidas entradas privadas), usuarios, términos o páginas de opciones.

Por esta razón, desde ACF 6.0.3 hemos recomendado a los usuarios desactivar el shortcode si no lo están utilizando.

ACF 6.2.7 también contiene un nuevo filtro que te permite limitar los valores accesibles para el Shortcode de ACF.

Este filtro, acf/shortcode/prevent_access, te permite devolver true para prohibir el acceso a ese tipo de campo. Por ejemplo, podrías evitar el acceso a cualquier campo almacenado como opciones o cualquier valor de campo en un usuario, entrada o página con visibilidad privada.

Registro de cambios

• Corrección de Seguridad – the_field ahora escapa HTML potencialmente inseguro como se notificó desde ACF 6.2.5. Para más información, por favor lee la publicación de blog de lanzamiento
• Corrección de Seguridad – Los nombres de campo y diseño ahora están limitados a caracteres alfanuméricos, resolviendo un posible problema XSS
• Corrección de Seguridad – La plantilla de renderizado predeterminada para campos select2 ya no permite que se renderice HTML, resolviendo un posible problema XSS
• Mejora de Seguridad – Ahora está disponible un filtro acf/shortcode/prevent_access para limitar qué datos puede acceder el Shortcode de ACF
• Mejora de Seguridad – Las cadenas traducidas de i18n ahora están escapadas en la salida
• Mejora – ACF ahora utiliza universalmente funciones del sistema de archivos de WordPress en lugar de funciones nativas de PHP

Lee el artículo original en https://www.advancedcustomfields.com/blog/acf-6-2-7-security-release/ para conocer todos los detalles.

Haz que tu web sea más segura y eficiente con Zonsai.