# CVE-2021-42359 > [!high] Escalada de Privilégios no Plugin WordPress WP DSGVO Tools > CVE-2021-42359 é uma vulnerabilidade de escalada de privilégios no plugin WordPress "WP DSGVO Tools" que permite que usuários autenticados com permissões básicas (assinante) elevem seus privilégios para administrador, comprometendo completamente o site. ## Visão Geral CVE-2021-42359 afeta o plugin WordPress "WP DSGVO Tools" (compliance GDPR/LGPD) nas versões anteriores a 3.1.24. A vulnerabilidade é causada por verificação inadequada de permissões em funções AJAX do plugin, permitindo que qualquer usuário autenticado — incluindo assinantes sem privilégios — execute ações administrativas e efetivamente eleve seus privilégios para administrador do WordPress. Falhas de escalada de privilégios em plugins WordPress são extremamente impactantes por duas razões: primeiro, qualquer pessoa com uma conta simples no site (ex: assinante de newsletter) pode explorar; segundo, o controle administrativo de um WordPress normalmente inclui execução de código PHP via editor de temas, comprometimento de toda a base de dados e potencial pivô para o servidor subjacente. Plugins de compliance como WP DSGVO Tools são comuns em sites brasileiros que seguem a LGPD, tornando este vetor relevante para o ecossistema nacional. O patch foi disponibilizado na versão 3.1.24 em novembro de 2021. > [!latam] Relevância para o Brasil > O plugin WP DSGVO Tools é usado por sites brasileiros para compliance com a **LGPD** (Lei Geral de Proteção de Dados). A ironia é que um plugin de compliance pode se tornar o vetor de comprometimento. Portais de e-commerce, saúde e serviços brasileiros baseados em WordPress com este plugin desatualizado são alvos potenciais para comprometimento e deface. ## Detecção e Defesa - Atualizar WP DSGVO Tools para versão 3.1.24 ou superior via painel WordPress — [[m1051-update-software|M1051 Update Software]] - Implementar monitoramento de integridade de arquivos WordPress (Wordfence, Sucuri) — [[t1505-server-software-component|T1505]] - Restringir criação de contas de usuário no WordPress; revisar contas existentes de baixo privilégio — [[m1026-privileged-account-management|M1026]] - Habilitar autenticação de dois fatores para contas de administrador WordPress — [[m1032-multi-factor-authentication|M1032]] - Monitorar requests AJAX suspeitos no log de acesso do servidor web — [[t1190-exploit-public-facing-application|T1190]] ## Referências - [WPScan - CVE-2021-42359](https://wpscan.com/vulnerability/CVE-2021-42359) - [NVD - CVE-2021-42359](https://nvd.nist.gov/vuln/detail/CVE-2021-42359)