Vulnerabilidad en metagauss (CVE-2026-2488)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/03/2026
Última modificación:
22/04/2026
Descripción
El plugin ProfileGrid – Perfiles de Usuario, Grupos y Comunidades para WordPress es vulnerable a la eliminación no autorizada de mensajes debido a una falta de verificación de capacidad en la función pg_delete_msg() en todas las versiones hasta la 5.9.8.1, inclusive. Esto se debe a que la función no verifica que el usuario solicitante tenga permiso para eliminar el mensaje objetivo. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, eliminen mensajes arbitrarios pertenecientes a cualquier usuario enviando una solicitud directa con un ID de mensaje válido (parámetro mid).
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/profilegrid-user-profiles-groups-and-communities/tags/5.9.7.1/includes/class-profile-magic.php#L372
- https://plugins.trac.wordpress.org/browser/profilegrid-user-profiles-groups-and-communities/tags/5.9.7.1/public/class-profile-magic-public.php#L5913
- https://plugins.trac.wordpress.org/browser/profilegrid-user-profiles-groups-and-communities/trunk/includes/class-profile-magic.php#L372
- https://plugins.trac.wordpress.org/browser/profilegrid-user-profiles-groups-and-communities/trunk/public/class-profile-magic-public.php#L5913
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3464213%40profilegrid-user-profiles-groups-and-communities&new=3464213%40profilegrid-user-profiles-groups-and-communities&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/4c611fa0-28ef-4425-8614-fb61e250e625?source=cve