У Advanced Custom Fields (ACF) виправлено вразливість XSS, яка наявна у версіях 6.1.5 та нижче плагінів ACF і ACF Pro. Дана вразливість вплинула на понад 2 мільйони користувачів плагіна по всьому світу. Проблему знайдено дослідником Рафі Мухаммадом 2 травня 2023 року та виправлено розробниками ACF у версії 6.1.6 5 травня 2023 року.
Мухаммад описав уразливість так:
Ця вразливість дозволяє будь-якому неавтентифікованому користувачеві викрасти конфіденційну інформацію, наприклад, для підвищення привілеїв на сайті WordPress шляхом обману (робиться так, щоб привілейований користувач відвідав створений URL).
Уразливість отримала високу оцінку серйозності CVSS 3,1. Наразі відомо, що вразливість вже використовувалася. Користувачі ACF free та ACF Pro повинні якнайшвидше оновити плагін до останньої версії 6.1.6.
