El plugin Bit File Manager – 100% Free & Open Source File Manager and Code Editor for WordPress presenta una vulnerabilidad que permite la carga de archivos .css y .js, lo que puede llevar a un Ataque de Scripting entre Sitios (XSS) almacenado.
El plugin Bit File Manager para WordPress hasta la versión 6.5.7 no realiza una verificación adecuada de los tipos de archivo permitidos al realizar la carga de archivos. Esto posibilita a atacantes autenticados con nivel de acceso Subscriber y superior, y con permisos otorgados por un administrador, subir archivos maliciosos. La presencia de archivos .css y .js puede abrir la puerta a potenciales ataques de XSS almacenado, poniendo en riesgo la seguridad del sitio.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Bit File Manager a la última versión disponible. Además, es aconsejable limitar los permisos de carga de archivos solo a roles de usuario confiables y realizar auditorías frecuentes en busca de posibles archivos maliciosos en el sitio.