Actualización de Seguridad ACF

ACF ha realizado una actualización de rutina para parchear un problema recientemente identificado. Las actualizaciones para clientes de alojamiento en WP Engine, usuarios de ACF PRO y aquellos usuarios gratuitos que ya hayan actualizado manualmente desde nuestro sitio de descargas están funcionando con normalidad.

Para aquellos usuarios de ACF que aún dependen de WordPress.org, les invitamos a utilizar nuestra solución para garantizar que reciban actualizaciones en el futuro. Aprende cómo actualizar manualmente a la última versión de ACF: por favor sigue este proceso.

Hemos puesto a disposición de WordPress.org una copia de la actualización, la cual ha sido publicada en el repositorio de plugins (ver ACF 6.3.6.1). Para garantizar que podamos enviar futuras versiones sin interrupciones, te recomendamos que descargues una nueva versión de ACF directamente.

Esta última versión contiene una corrección de seguridad para las devoluciones de llamada de los metabox de Tipo de Entrada y Taxonomía. La vulnerabilidad aborda el escenario poco probable donde un usuario con permisos de administrador de ACF ataca a otro usuario administrador con permisos para crear o modificar entradas, o en una configuración Multisitio donde un administrador de un sitio intenta explotar a un super administrador para modificar o agregar una nueva entrada.

Recomendamos actualizar a la versión 6.3.8 de ACF ya que WP Engine sigue bloqueado para acceder a .org. Siguiendo este proceso puedes asegurarte de recibir actualizaciones a medida que se lanzan nuevas funciones y parches de seguridad.

Los clientes de ACF PRO se actualizarán automáticamente a la versión 6.3.8 de manera normal.

Nuestro Protocolo de Seguridad

El robusto programa de seguridad de WP Engine garantiza que el desarrollo y entrega de nuestro plugin sean lo más seguros posible.

Nuestro equipo trabajó para asegurar que una solución fuera enviada lo más pronto posible, y mucho antes del plazo normal de 90 días típico para una vulnerabilidad de esta naturaleza, y seguiremos trabajando para garantizar que tengas la mejor experiencia posible con ACF.

Registro de Cambios

• Seguridad – Las devoluciones de llamada de los metabox de Tipo de Entrada y Taxonomía de ACF ya no tienen acceso a los datos $_POST. (Gracias al Equipo de Seguridad de Automattic por la divulgación)

Consulta el artículo original en https://www.advancedcustomfields.com/blog/acf-6-3-8-security-release/ para obtener más detalles.

En Zonsai, somos expertos en diseño WordPress y optimización.