[Jefferson Maldonado]

Que tal Luis Alberto, así es, es un problema actual de que tiene ACF.

Dejaré por acá un resumen de lo que comentan en su post oficial sobre este problema:

La versión 6.2.5 de ACF es una actualización centrada en la seguridad, introduciendo cambios importantes en la forma en que se manejan los campos personalizados para evitar vulnerabilidades de seguridad. Una de las modificaciones más significativas es que, a partir de esta versión, el contenido de los campos generados por el shortcode de ACF será escapado utilizando la función wp_kses de WordPress. Esto significa que cualquier HTML potencialmente inseguro, como scripts o iframes, será filtrado para prevenir ataques maliciosos.

Este cambio es relevante porque podría afectar la funcionalidad de sitios que utilizan shortcodes de ACF para mostrar contenido HTML personalizado, como iframes o scripts, en campos de texto o WYSIWYG. Si este contenido es esencial para el funcionamiento de tu sitio, necesitarás revisar y posiblemente ajustar cómo se almacena y muestra este contenido para asegurarte de que sigue funcionando correctamente después de la actualización.

ACF también ha implementado un sistema de notificaciones dentro del área de administración de WordPress para alertar a los usuarios sobre los campos que se ven afectados por este cambio de seguridad. Además, se espera que en la futura versión 6.2.7, ACF aplique el mismo tratamiento de escape de HTML inseguro a otras funciones como the_field() y the_sub_field(), lo que indica un compromiso continuo con la seguridad sin comprometer la funcionalidad del sitio.

Si eres desarrollador o administrador de un sitio que utiliza ACF, es crucial estar al tanto de estos cambios para mantener tu sitio seguro y funcionando sin problemas. Se recomienda actualizar a la última versión de ACF para aprovechar estas mejoras de seguridad y revisar cualquier campo personalizado que pueda verse afectado por el nuevo tratamiento de HTML inseguro.

Para los desarrolladores que necesiten permitir ciertos tipos de HTML inseguro bajo circunstancias controladas, ACF ofrece opciones para deshabilitar el nuevo comportamiento de escape por defecto, mediante filtros específicos que permiten una mayor flexibilidad mientras se mantiene la seguridad del sitio.

En resumen, la actualización 6.2.5 de ACF mejora significativamente la seguridad del plugin, pero requiere que los usuarios revisen y posiblemente ajusten su uso de campos personalizados para asegurar la compatibilidad y funcionalidad de su sitio.

Puedes consultar la información oficial aquí: https://www.advancedcustomfields.com/blog/acf-6-2-5-security-release/

advancedcustomfields.com

ACF | ACF 6.2.5 Security Release

Advanced Custom Fields version 6.2.5 is now available. This release is a security fix release containing an important change you need to be aware of