La vulnerabilidad en el plugin User Profile Picture para WordPress permite a atacantes autenticados, con acceso de Autor o superior, actualizar la foto de perfil de cualquier usuario a través de un fallo de Referencia de Objeto Directo Inseguro.
El plugin User Profile Picture para WordPress es vulnerable a Referencia de Objeto Directo Inseguro en todas las versiones hasta, e incluyendo, la 2.6.1 a través de la función ‘rest_api_change_profile_image’ debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso de Autor y superior, actualicen la foto de perfil de cualquier usuario.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin User Profile Picture a la última versión disponible y verificar regularmente las actualizaciones de seguridad para proteger sus sitios web de posibles vulnerabilidades.