The WP DSGVO Tools (GDPR) plugin for WordPress is vulnerable to unauthorized account destruction in all versions up to, and including, 3.1.38. This is due to the `super-unsubscribe` AJAX action accepting a `process_now` parameter from unauthenticated users, which bypasses the intended email-confirmation flow and immediately triggers irreversible account anonymization. This makes it possible for unauthenticated attackers to permanently destroy any non-administrator user account (password randomized, username/email overwritten, roles stripped, comments anonymized, sensitive usermeta wiped) by submitting the victim's email address with `process_now=1`. The nonce required for the request is publicly available on any page containing the `[unsubscribe_form]` shortcode.

El plugin WP DSGVO Tools (GDPR) para WordPress es vulnerable a la destrucción no autorizada de cuentas en todas las versiones hasta la 3.1.38, inclusive. Esto se debe a que la acción AJAX 'super-unsubscribe' acepta un parámetro 'process_now' de usuarios no autenticados, lo que omite el flujo de confirmación de correo electrónico previsto y desencadena inmediatamente la anonimización irreversible de la cuenta. Esto permite a atacantes no autenticados destruir permanentemente cualquier cuenta de usuario que no sea de administrador (contraseña aleatorizada, nombre de usuario/correo electrónico sobrescrito, roles eliminados, comentarios anonimizados, metadatos de usuario sensibles borrados) al enviar la dirección de correo electrónico de la víctima con 'process_now=1'. El nonce requerido para la solicitud está disponible públicamente en cualquier página que contenga el shortcode '[unsubscribe_form]'.