Accueil Tags ACF

Tag: ACF

WP Engine acquiert la société derrière ACF, WP Migrate & Better Search and Replace

0

La société d’hébergement Web WordPress gérée WP Engine a annoncé l’acquisition de Delicious Brains, la société à l’origine de cinq plugins populaires utilisés par des millions d’utilisateurs dans le monde.

L’acquisition comprend des plugins très populaires auprès de la communauté de développement WordPress :

  • Champs personnalisés avancés (ACF),
  • WP Migrer,
  • Meilleure recherche et remplacement,
  • WP Offload SES
  • WP décharger les médias

Ce que l’acquisition signifie pour les plugins Delicious Brains

Les changements sont peut-être la principale préoccupation des clients des plugins. WP Engine rassure qu’aucun changement significatif ne se produira et qu’ils continueront à soutenir leur développement et leur amélioration.

Les cinq plugins Delicious Brains continueront d’être mis à jour et rendus compatibles avec les futures versions de WordPress. Les équipes de développement resteront également les mêmes et les plugins resteront disponibles dans les référentiels WordPress actuels.

Leur annonce a déclaré que cette acquisition se fait dans l’esprit de leur engagement envers l’open source. WP Engine a également déclaré qu’il honorerait les licences à vie des produits.

WP Engine a partagé les faits suivants avec Search Engine Journal :

« Les plugins resteront gratuits et dans le référentiel et nous honorons les licences à vie pour les versions Pro.

Nous engageons les employés de Delicious Brains et ils continueront à travailler sur les plugins.

Comme nous l’avons fait avec d’autres outils tels que Genesis et Local, WP Engine prévoit également d’étendre la prise en charge des contributeurs et de la communauté WordPress au sens large en offrant des opportunités significatives de collaboration continue et de maintenance et de développement continus d’ACF, WP Migrate et des outils de construction supplémentaires qui sont en cours d’acquisition.

Au départ, nous allons nous concentrer sur l’intégration et suivre les feuilles de route actuelles tout au long de cette intégration. Notre objectif est de toujours faire en sorte que le moteur WP offre plus de valeur aux clients, mais il est encore trop tôt pour partager des détails concrets à ce sujet.

Moteur WP et CMS sans tête

WP Engine a également partagé son engagement à innover et à investir pour faire de WP Engine un leader dans la création et la modélisation de contenu pour les sites WordPress sans tête, soulignant la synergie entre ACF et leur Atlas Content Modeler (ACM).

Ils ont partagé avec Search Engine Journal :

« La combinaison d’ACF et d’ACM créera la norme incontestée de modélisation de contenu pour WordPress sans tête, renforçant encore la position de WordPress en tant que premier choix pour les architectures CMS sans tête. »

Sommaire

Les plugins Delicious Brains, ses clients et la communauté WordPress ont tout à gagner de cette acquisition, faisant de l’acquisition un gagnant-gagnant-gagnant pour toutes les personnes impliquées.


Citation

Lire l’annonce officielle

WP Engine acquiert les plugins WordPress Delicious Brains populaires, y compris les champs personnalisés avancés préférés des développeurs

Lire l’explication pour les clients de Delicious Brains

Ce que l’acquisition de produits Delicious Brains par WP Engine signifie pour vous

La vulnérabilité du plugin ACF WordPress affecte jusqu’à +2 millions de sites

0

Vulnérabilité d’autorisation manquante …permet à un attaquant distant authentifié d’afficher les informations sur la base de données sans l’autorisation d’accès. Ce type de vulnérabilité permet à un attaquant d’accéder au site à des niveaux habituellement réservés aux utilisateurs disposant de privilèges d’administrateur.

Plugin WordPress des champs personnalisés avancés (ACF)

Le plugin ACF WordPress est un outil de développement populaire qui permet aux développeurs d’ajouter des champs personnalisés à l’écran d’édition ainsi que de personnaliser les sections pour les utilisateurs, les publications, les médias et d’autres domaines.

L’outil ACF permet aux développeurs d’étendre les thèmes WordPress de plusieurs façons, ce qui explique pourquoi il existe des millions d’installations actives.

Vulnérabilité d’autorisation manquante

Une vulnérabilité d’autorisation manquante se produit lorsqu’un logiciel tel qu’un plugin WordPress ne vérifie pas l’autorisation d’un utilisateur lors de l’accès à des informations spécifiques.

Ce type de vulnérabilité peut entraîner l’exposition d’informations sensibles et des attaques d’exécution de code à distance.

Attaquant authentifié à distance

Cette vulnérabilité particulière exploite une vérification d’autorisation manquante pour les utilisateurs qui ont un certain niveau d’authentification.

Cela signifie que les utilisateurs disposant au moins d’un niveau d’authentification d’éditeur, d’auteur ou de contributeur peuvent accéder aux privilèges de niveau administrateur afin d’afficher les informations de la base de données.

Selon les informations les plus récentes du centre de coordination de l’équipe japonaise d’intervention en cas d’urgence informatique :

« Le plugin WordPress « Advanced Custom Fields » fourni par Delicious Brains contient une vulnérabilité d’autorisation manquante…

Les utilisateurs de ce produit (éditeur, auteur, contributeur) peuvent consulter les informations de la base de données sans autorisation d’accès. »

La base de données nationale des vulnérabilités des États-Unis lui a attribué un numéro de référence CVE, CVE-2022-23183

Journal des modifications ACF

Un journal des modifications est un journal détaillant toutes les modifications apportées à chaque version d’un logiciel.

Il est difficile de dire lesquelles des modifications détaillées dans le journal des modifications sont liées à la correction de la vulnérabilité car le journal des modifications ACF ne dit pas explicitement que quelque chose est un correctif de sécurité, il les étiquette simplement comme un « Réparer.”

Le journal des modifications du plugin ACF WordPress ne note pas explicitement qu’un problème de sécurité a été résolu.

Une partie du journal des modifications ACF indique simplement :

« Correctif – ACF valide désormais l’accès aux valeurs de champ de la page d’options lors de l’accès via les clés de champ de la même manière que les noms de champ. Voir plus
Correction – L’API REST valide désormais correctement les champs pour les demandes de mise à jour POST »

Le lien « Afficher plus » mène à un explicatif sur le site Web d’ACF qui dit :

« … Les appels à get_field() ou the_field() sur les options WordPress non-ACF renverront également null. Cependant, l’utilisation de ces fonctions pour récupérer n’importe quelle méta de publication, d’utilisateur ou de terme renverra la valeur, que la méta soit ou non un champ ACF.

… Dans ACF 5.12.1, ces restrictions s’appliquent désormais correctement lors de l’utilisation d’une clé de champ pour accéder à une valeur d’option, de la même manière que l’utilisation du nom de champ.
« Utilisation des fonctions ACF pour récupérer des données depuis l’extérieur d’ACF. »

La vulnérabilité des champs personnalisés avancés est corrigée

La vulnérabilité ACF affecte toutes les versions antérieures à Advanced Custom Fields 5.12.1 et Advanced Custom Fields Pro 5.12.1.

Le centre de coordination de l’équipe d’intervention d’urgence informatique du Japon recommande à tous les utilisateurs du plug-in de mettre immédiatement à jour les versions ACF 5.12.1.