El plugin UserPlus para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, la 2.0 debido a una restricción insuficiente en las funciones ‘form_actions’ y ‘userplus_update_user_profile’. Esto permite que atacantes no autenticados especifiquen su rol de usuario al suministrar el parámetro ‘role’ durante un registro.
Para subsanar este problema, se recomienda actualizar el plugin UserPlus a la última versión disponible. Además, se pueden implementar medidas adicionales de seguridad como limitar el acceso al panel de administración solo a usuarios autenticados y revisar regularmente los permisos de los usuarios en el sitio.
Es fundamental mantener todos los plugins y temas de WordPress actualizados y seguir buenas prácticas de seguridad para prevenir posibles vulnerabilidades como esta escalada de privilegios en UserPlus <= 2.0.