El plugin Download Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpdm-all-packages’ en todas las versiones hasta, e incluyendo, la 3.2.90 debido a una insuficiente sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para subsanar este problema, se recomienda a los usuarios actualizar a la última versión del plugin Download Manager lo antes posible, ya que el desarrollador suele lanzar parches de seguridad para corregir este tipo de vulnerabilidades. Además, se aconseja a los administradores de sitios web restringir los niveles de acceso de los usuarios a la plataforma, evitando dar permisos de contribuidor y superiores a usuarios no confiables.
Es fundamental estar al tanto de las vulnerabilidades en los plugins de WordPress y mantenerlos siempre actualizados para proteger la seguridad de su sitio web y de sus usuarios.