El plugin WPZOOM Social Feed Widget & Block para WordPress es vulnerable a accesos no autorizados debido a una falta de verificación de capacidades en la función wpzoom_instagram_clear_data() en todas las versiones hasta, e incluyendo, la 2.1.13. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, eliminen todas las imágenes de Instagram instaladas en el sitio.
El problema radica en que la función wpzoom_instagram_clear_data() no verifica adecuadamente el nivel de acceso del usuario antes de permitir la eliminación de imágenes de Instagram. Esto significa que incluso los usuarios con roles de suscriptor o superiores pueden borrar todas las imágenes de Instagram del sitio, lo que puede resultar en la pérdida de contenido importante para la marca o negocio.
Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible que contenga una solución para esta vulnerabilidad. Además, se aconseja a los administradores del sitio revisar y ajustar los permisos de los roles de usuario para limitar la capacidad de eliminar contenido sensible.