El plugin Download Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpdm_modal_login_form’ en todas las versiones hasta, e incluyendo, la 3.2.93 debido a una insuficiente sanitización de entrada y escape de salida en los atributos suministrados por usuarios.
Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este problema, se recomienda a los usuarios del plugin Download Manager actualizar a la última versión disponible y mantenerse al tanto de las actualizaciones de seguridad. Además, se debe evitar el uso de atributos de usuario no confiables en los shortcodes del plugin y se recomienda desactivar o limitar el acceso de los usuarios con roles de contributor y superior.