Mise à jour de la version 6.3.6 de l'ACF : sécurité renforcée pour l'accès aux valeurs des champs de l'éditeur de contenu

Accès aux valeurs des champs dans l'éditeur de contenu

Les shortcodes ACF permettent aux éditeurs de contenu d'accéder aux valeurs des champs ACF lors de la création et de l'affichage du contenu des articles. La dernière version d'ACF a apporté des améliorations significatives à la sécurité des shortcodes ACF, et pour améliorer encore cette sécurité, les shortcodes ACF sont par défaut sécurisés contre les éléments suivants ACF 6.3.0 et plus se trouvent dans laétat désactivé. Cependant, permettre aux utilisateurs du site d'accéder aux données des champs dans l'éditeur requiert de la confiance et il y a toujours un risque de sécurité inhérent. C'est l'une des raisons pour lesquelles les récentes fonctionnalités de WordPress, telles que la fonction Blocs de fixation répondre en chantant Bits(à venir)) pour plus de questions.

Afin de prendre en charge ces nouvelles fonctionnalités en toute sécurité et d'augmenter le niveau de sécurité des shortcodes ACF existants, ACF 6.3.6 a introduit un nouveau paramètre de niveau de champ. Ce paramètre marque les champs comme permettant aux éditeurs d'accéder aux valeurs des champs et de les utiliser dans le contenu.Autoriser l'accès aux valeurs dans l'interface utilisateur de l'éditeur

Cela signifie, par exemple, qu'un développeur peut autoriser l'accès à certains champs par le shortcode ACF, mais ne pas permettre aux éditeurs de contenu d'accéder aux champs utilisés dans les pages d'options internes, qui ne sont accessibles qu'aux administrateurs du site.

Pour ce faire, il suffit d'éditer le champ et de naviguer jusqu'à 'Présentation' pour accéder aux paramètres du champ :

Pour tout champ créé avant ACF 6.3.6, le même comportement que celui existant est activé par défautcorrespondremais il sera désactivé pour tous les nouveaux champs ajoutés par la suite. Cela signifie que lorsqu'un champ est créé, l'optionNécessité de choisir explicitement d'autoriser les éditeurs de contenu à accéder au champ. Cela n'affecte pas l'accès aux valeurs basées sur le code quipar exemple (math.) genrepeut-être et ne s'applique qu'aux méthodes existantes ou à venir d'accès aux valeurs des champs dans l'éditeur de contenu.the_fieldget_fieldget_post_meta

Nous recommandons aux utilisateurs d'ACF, après la mise à jour vers la version 6.3.6, de revoir leurs groupes de champs et leurs champs et de désactiver les paramètres pour tous les champs qui contiennent des informations sensibles, en particulier les champs liés aux pages d'options ou aux utilisateurs.

Journal des modifications

• Sécurité - les champs nouvellement ajoutés doivent désormais être explicitement définis pour autoriser l'accès dans l'éditeur de contenu (lors de l'utilisation de shortcodes ACF ou de blocs) afin d'améliorer la sécurité des autorisations des champs.
• Correction de sécurité - Les libellés des champs sont désormais correctement échappés lorsqu'ils sont affichés dans l'éditeur de groupes de champs afin d'éviter les problèmes XSS potentiels. Merci à Ryo Sotoyama de Mitsui Bussan Secure Directions, Inc. pour la divulgation responsable !
• Correction - La validation et le blocage de la nonce des requêtes AJAX ne seront plus pris en compte par les plugins tiers.
• Correction - la détection des bibliothèques select2 tierces se fait désormais par défaut avec la v4 au lieu de la v3
• Correction - L'aperçu des blocs affiche désormais une erreur si le fichier PHP du modèle de rendu est introuvable.