Vulnerabilidad en plugin REST API TO MiniProgram para WordPress (CVE-2026-3460)

El plugin REST API TO MiniProgram para WordPress es vulnerable a la Referencia Directa Insegura a Objetos en todas las versiones hasta la 5.1.2, inclusive. Esto se debe a que la función de devolución de llamada de permisos (update_user_wechatshop_info_permissions_check) solo valida que el parámetro 'openid' proporcionado corresponde a un usuario de WordPress existente, mientras que la función de devolución de llamada (update_user_wechatshop_info) utiliza un parámetro 'userid' separado y controlado por el atacante para determinar qué metadatos de usuario se modifican, sin verificar que 'openid' y 'userid' pertenezcan al mismo usuario. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, modifiquen metadatos relacionados con la tienda de usuarios arbitrarios (storeinfo, storeappid, storename) a través del parámetro 'userid' de la API REST.