El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta un fallo de seguridad que permite a usuarios autenticados con nivel de acceso de Suscriptor o superior, borrar listas de reproducción de forma no autorizada.
La vulnerabilidad reside en la función del_ytsingvid() del plugin, la cual no realiza una verificación adecuada de la capacidad del usuario antes de permitir la eliminación de listas de reproducción. Esto significa que cualquier usuario autenticado con nivel de Suscriptor o superior podría llevar a cabo esta acción sin permiso.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar periódicamente los permisos de los usuarios en su sitio de WordPress para limitar el acceso a funciones sensibles.