La vulnerabilidad en el plugin The Ultimate WordPress Toolkit – WP Extended para WordPress permite la modificación no autorizada de datos que puede conducir a la escalada de privilegios debido a la falta de comprobación de capacidad en la función module_all_toggle_ajax() en todas las versiones hasta, e incluyendo, la 3.0.8.
Esto hace posible que los atacantes autenticados, con acceso de nivel Suscriptor y superior, actualicen opciones arbitrarias en el sitio de WordPress. Esto se puede aprovechar para actualizar el rol predeterminado para el registro a administrador y habilitar el registro de usuarios para que los atacantes obtengan acceso de usuario administrativo a un sitio vulnerable.
Se recomienda a los usuarios del plugin The Ultimate WordPress Toolkit – WP Extended que actualicen a la última versión disponible lo antes posible y que revisen y limiten los privilegios de los usuarios para prevenir posibles ataques de escalada de privilegios.