Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el plugin Download Manager para WordPress (CVE-2022-2101)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/07/2022
Última modificación:
21/03/2025

Descripción

El plugin Download Manager para WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado por medio del parámetro "file[files][]" en versiones hasta 3.2.46 incluyéndola, debido a un insuficiente saneo de la entrada y escape de la salida. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en la página del archivo que serán ejecutados siempre que un administrador acceda al área del editor para la página del archivo inyectado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:w3eden:download_manager:*:*:*:*:*:wordpress:*:* 3.2.46 (incluyendo)