Vulnerabilidad en Post Duplicator (CVE-2026-2301)

El plugin Post Duplicator para WordPress es vulnerable a la inserción no autorizada de metadatos de publicación protegidos arbitrarios en todas las versiones hasta la 3.0.8, inclusive. Esto se debe a que la función `duplicate_post()` en `includes/api.php` utiliza `$wpdb->insert()` directamente en la tabla `wp_postmeta` en lugar de la función estándar de WordPress `add_post_meta()`, la cual llamaría a `is_protected_meta()` para evitar que usuarios con privilegios inferiores establezcan claves de metadatos protegidas (aquellas que comienzan con `_`). Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten claves de metadatos de publicación protegidas arbitrarias como `_wp_page_template`, `_wp_attached_file` y otras claves de metadatos sensibles en publicaciones duplicadas a través del parámetro de array JSON `customMetaData` en el endpoint de la API REST `/wp-json/post-duplicator/v1/duplicate-post`.