Vulnerabilidad en Download HTML TinyMCE Button de WordPress (CVE-2025-1286)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/05/2025

Última modificación:

16/05/2025

Descripción

El complemento Download HTML TinyMCE Button de WordPress hasta la versión 1.2 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.

Impacto

Referencias a soluciones, herramientas e información

https://wpscan.com/vulnerability/c42556c7-09b6-49ae-9f87-cbaf16e7c280/