The Discy WordPress theme before 5.0 lacks authorization checks then processing ajax requests to the discy_update_options action, allowing any logged in users (with privileges as low as Subscriber,) to change Theme options by sending a crafted POST request.
El tema Discy de WordPress versiones anteriores a 5.0, carece de comprobaciones de autorización al procesar las peticiones ajax a la acción discy_update_options, lo que permite a cualquier usuario conectado (con privilegios tan bajos como el de suscriptor) cambiar las opciones del tema mediante el envío de una petición POST diseñada
The "Discy - Social Questions and Answers WordPress Theme" theme for WordPress is vulnerable to authorization bypass due to a missing capability check on the discy_update_options AJAX action in versions up to, and including, 4.9. This makes it possible for authenticated attackers with minimal permissions, such as subscribers, to modify the plugin's settings.
