CVE

Vulnerabilidad en el plugin Download Manager para WordPress (CVE-2022-2101)

Severidad:
MEDIA
Type:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/07/2022
Última modificación:
11/01/2024

Descripción

El plugin Download Manager para WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado por medio del parámetro "file[files][]" en versiones hasta 3.2.46 incluyéndola, debido a un insuficiente saneo de la entrada y escape de la salida. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en la página del archivo que serán ejecutados siempre que un administrador acceda al área del editor para la página del archivo inyectado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wpdownloadmanager:wordpress_download_manager:*:*:*:*:*:wordpress:*:* 3.2.46 (incluyendo)