The Product Filter for WooCommerce by WBW plugin for WordPress is vulnerable to unauthorized data loss due to a missing capability check in all versions up to, and including, 3.1.2. This is due to the plugin's MVC framework dynamically registering unauthenticated AJAX handlers via `wp_ajax_nopriv_` hooks without verifying user capabilities, combined with the base controller's `__call()` magic method forwarding undefined method calls to the model layer, and the `havePermissions()` method defaulting to `true` when no permissions are explicitly defined. This makes it possible for unauthenticated attackers to truncate the plugin's `wp_wpf_filters` database table via a crafted AJAX request with `action=delete`, permanently destroying all filter configurations.

El plugin Product Filter for WooCommerce by WBW para WordPress es vulnerable a la pérdida de datos no autorizada debido a una comprobación de capacidad faltante en todas las versiones hasta la 3.1.2, inclusive. Esto se debe a que el framework MVC del plugin registra dinámicamente manejadores AJAX no autenticados a través de hooks 'wp_ajax_nopriv_' sin verificar las capacidades del usuario, combinado con el método mágico '__call()' del controlador base que reenvía llamadas a métodos indefinidos a la capa del modelo, y el método 'havePermissions()' que por defecto es 'true' cuando no se definen permisos explícitamente. Esto hace posible que atacantes no autenticados trunquen la tabla de la base de datos 'wp_wpf_filters' del plugin a través de una solicitud AJAX manipulada con 'action=delete', destruyendo permanentemente todas las configuraciones de filtro.