El plugin Ultimate YouTube Video & Shorts Player With Vimeo para WordPress presenta una vulnerabilidad de autorización que permite a usuarios autenticados, con nivel de suscriptor o superior, acceder a ajustes de listas de reproducción.
La vulnerabilidad CVE-2024-11355 reside en la falta de comprobación de capacidades en la función get_setting() de todas las versiones del plugin hasta la 3.3. Esto posibilita que atacantes autenticados puedan ver ajustes de listas de reproducción sin tener los permisos adecuados.
Se recomienda a los usuarios del plugin Ultimate YouTube Video & Shorts Player With Vimeo actualizar a la última versión disponible para corregir esta vulnerabilidad de autorización y proteger la configuración de sus listas de reproducción.