El plugin Download Plugins and Themes in ZIP from Dashboard para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin escapar adecuadamente la URL en todas las versiones hasta, e incluyendo, la 1.9.1.
Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y mantener todos los plugins y temas de WordPress actualizados regularmente. Además, se deben evitar hacer clic en enlaces sospechosos o no verificados.
La seguridad en WordPress es crucial para proteger tanto los datos de los usuarios como la integridad del sitio. Ante cualquier indicio de vulnerabilidad, es fundamental tomar medidas inmediatas para mitigar el riesgo de posibles ataques.