Vulnerabilidad en WPGSI (CVE-2026-1916)

El plugin WPGSI: Spreadsheet Integration para WordPress es vulnerable a la modificación no autorizada y la pérdida de datos debido a la falta de comprobaciones de capacidad y un mecanismo de autenticación inseguro en las funciones de la API REST 'wpgsi_callBackFuncAccept' y 'wpgsi_callBackFuncUpdate' en todas las versiones hasta la 3.8.3, inclusive. Ambos puntos finales REST utilizan 'permission_callback => '__return_true'', lo que permite el acceso no autenticado. La validación personalizada basada en tokens del plugin se basa en un objeto JSON codificado en Base64 que contiene el ID de usuario y la dirección de correo electrónico, pero no está firmado criptográficamente. Esto hace posible que atacantes no autenticados forjen tokens utilizando información públicamente enumerable (ID de usuario administrador y correo electrónico) para crear, modificar y eliminar publicaciones y páginas arbitrarias de WordPress, siempre que conozcan la dirección de correo electrónico del administrador y un ID de integración activo con las actualizaciones remotas habilitadas.