El plugin Download Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘wpdm_all_packages’ en todas las versiones hasta, e incluyendo, la 3.2.97 debido a la insuficiente sanitización de la entrada y escape de la salida en el parámetro ‘cols’. Esto permite a atacantes autenticados, con acceso de nivel contribuidor y superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el complemento Download Manager a la última versión disponible, en este caso, la 3.2.98. Además, se sugiere a los administradores de sitios WordPress educar a los usuarios con privilegios de contribuidor y superiores sobre las posibles consecuencias de la ejecución de scripts web arbitrarios y la importancia de no confiar en entradas no seguras.
Mantener actualizados los plugins y temas en WordPress es crucial para prevenir vulnerabilidades como este caso de Cross-Site Scripting. La concienciación sobre seguridad en el desarrollo y mantenimiento de sitios web es fundamental para proteger la integridad de los datos y la privacidad de los usuarios.