Varios plugins y/o temas de WordPress son vulnerables a la Subida Limitada de Archivos en diversas versiones. Esto se debe a la falta de comprobaciones adecuadas para garantizar que roles con menos privilegios no puedan subir archivos .css y .js a directorios arbitrarios.
Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, y permisos otorgados por un administrador, suban archivos .css y .js a cualquier directorio dentro del directorio raíz de WordPress, lo que podría llevar a Cross-Site Scripting Almacenado. El plugin Advanced File Manager Shortcodes debe estar instalado para explotar esta vulnerabilidad.
Es importante que los usuarios se aseguren de mantener actualizados sus plugins y temas de WordPress a las últimas versiones para evitar ser víctimas de este tipo de vulnerabilidades. Además, se recomienda restringir los permisos de los roles de usuario para limitar las acciones que pueden realizar.