El plugin GDPR CCPA Compliance & Cookie Consent Banner para WordPress presenta una vulnerabilidad que permite la modificación no autorizada de datos debido a la falta de una verificación de capacidad en varias funciones llamadas ajaxUpdateSettings() en todas las versiones hasta, e incluyendo, la 2.7.0.
Esto posibilita a atacantes autenticados, con acceso de nivel Suscriptor o superior, modificar la configuración del plugin, actualizar el contenido de la página, enviar correos electrónicos arbitrarios e inyectar scripts web maliciosos. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y restringir los permisos de los roles de usuario en WordPress para limitar las acciones que pueden realizar.
Es fundamental mantener actualizados todos los plugins de WordPress y realizar una revisión periódica de los permisos de usuario para prevenir posibles ataques de este tipo.