Vulnerabilidad en plugin Debugger & Troubleshooter para WordPress (CVE-2026-5130)

El plugin Debugger & Troubleshooter para WordPress era vulnerable a una escalada de privilegios no autenticada en versiones hasta la 1.3.2 inclusive. Esto se debía a que el plugin aceptaba el valor de la cookie wp_debug_troubleshoot_simulate_user directamente como un ID de usuario sin ninguna validación criptográfica ni comprobaciones de autorización. El valor de la cookie se utilizaba para anular el filtro determine_current_user, lo que permitía a atacantes no autenticados suplantar a cualquier usuario simplemente configurando la cookie con el ID de usuario objetivo. Esto hacía posible que atacantes no autenticados obtuvieran acceso a nivel de administrador y realizaran cualquier acción privilegiada, incluyendo la creación de nuevas cuentas de administrador, la modificación del contenido del sitio, la instalación de plugins o el control total del sitio de WordPress. La vulnerabilidad fue corregida en la versión 1.4.0 mediante la implementación de un sistema de validación criptográfico basado en tokens donde solo los administradores pueden iniciar la simulación de usuario, y la cookie contiene un token aleatorio de 64 caracteres que debe ser validado contra mapeos almacenados en la base de datos en lugar de aceptar IDs de usuario arbitrarios.