Fuente base de datos: Wordfence Intelligence

WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Deletion

PLUGIN HIGH CVE-2025-4799

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta gravedad en el plugin WP-DownloadManager, que permite la eliminación arbitraria de archivos por parte de administradores autenticados. Esta falla afecta a las versiones hasta la 1.68.10 y fue solucionada en la versión 1.68.11.

Contexto técnico

La vulnerabilidad se origina en un fallo en la gestión de permisos dentro del plugin, lo que permite a un administrador autenticado ejecutar acciones no autorizadas, específicamente la eliminación de archivos del servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la pérdida de datos críticos y afectar la integridad del sitio web, lo que podría resultar en daños financieros y reputacionales para la organización afectada.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad accediendo al panel de administración del sitio y utilizando las funciones del plugin para eliminar archivos arbitrariamente.

Mitigación recomendada

Se recomienda actualizar el plugin WP-DownloadManager a la versión 1.68.11 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales para mitigar riesgos.

Señales de detección

Señales de explotación pueden incluir registros de eliminación de archivos inusuales o cambios inesperados en la estructura de archivos del servidor.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP-DownloadManager hasta la 1.68.10. Las instalaciones que no han actualizado a la versión 1.68.11 están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-downloadmanager