Fuente base de datos: Wordfence Intelligence

Download Manager <= 3.2.92 - Authenticated (Author+) Stored Cross-Site Scripting via Multiple Shortcodes

PLUGIN MEDIUM CVE-2024-5266

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Download Manager hasta la versión 3.2.92. Esta falla permite a usuarios autenticados inyectar scripts maliciosos a través de múltiples shortcodes.

Contexto técnico

La vulnerabilidad se presenta en la forma en que Download Manager maneja la entrada de datos en varios shortcodes, lo que permite a un autor autenticado insertar código JavaScript malicioso que se ejecuta en el navegador de otros usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios al permitir la ejecución de scripts no autorizados, lo que podría llevar al robo de información sensible o a la manipulación de sesiones, afectando la confianza en la plataforma.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad mediante la creación de contenido que incluye shortcodes manipulados, el cual se visualiza por otros usuarios, ejecutando así el código malicioso en sus navegadores.

Mitigación recomendada

Actualizar el plugin Download Manager a la versión 3.2.94 o superior. Además, se recomienda revisar las configuraciones de seguridad y limitar los permisos de los usuarios que pueden crear o editar contenido con shortcodes.

Señales de detección

Señales de posible explotación incluyen reportes de comportamientos inusuales en la interfaz de usuario, como redirecciones inesperadas o la aparición de contenido no autorizado en el frontend.

Alcance afectado

Las versiones del plugin Download Manager hasta la 3.2.92 son las afectadas. Las instalaciones que no han actualizado a la versión 3.2.94 o superior están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

download-manager