Vulnerabilidad en WP DSGVO Tools (GDPR) de legalweb (CVE-2026-4283)

El plugin WP DSGVO Tools (GDPR) para WordPress es vulnerable a la destrucción no autorizada de cuentas en todas las versiones hasta la 3.1.38, inclusive. Esto se debe a que la acción AJAX 'super-unsubscribe' acepta un parámetro 'process_now' de usuarios no autenticados, lo que omite el flujo de confirmación de correo electrónico previsto y desencadena inmediatamente la anonimización irreversible de la cuenta. Esto permite a atacantes no autenticados destruir permanentemente cualquier cuenta de usuario que no sea de administrador (contraseña aleatorizada, nombre de usuario/correo electrónico sobrescrito, roles eliminados, comentarios anonimizados, metadatos de usuario sensibles borrados) al enviar la dirección de correo electrónico de la víctima con 'process_now=1'. El nonce requerido para la solicitud está disponible públicamente en cualquier página que contenga el shortcode '[unsubscribe_form]'.