La vulnerabilidad de autorización ausente en el plugin WP Datepicker para WordPress permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en la función wpdp_add_new_datepicker_ajax() en todas las versiones hasta, e incluyendo, la 2.1.0. Esto permite a atacantes autenticados, con acceso de nivel suscriptor y superior, actualizar opciones arbitrarias que pueden ser utilizadas para la escalada de privilegios.
La versión 2.1.0 del plugin WP Datepicker para WordPress es vulnerable a la actualización no autorizada de opciones debido a un error de autorización ausente. Esto podría permitir a atacantes autenticados con roles de suscriptor y superiores actualizar opciones arbitrarias, lo que potencialmente podría llevar a la escalada de privilegios en el sitio web. Se recomienda a los usuarios que actualicen a la versión 2.1.1 del plugin, que ha corregido completamente esta vulnerabilidad.
Es importante mantener todos los plugins de WordPress actualizados para protegerse contra posibles vulnerabilidades de seguridad. En el caso de WP Datepicker <= 2.1.0, los usuarios deben actualizar a la versión 2.1.1 para mitigar el riesgo de ataques de escalada de privilegios.