O Download Manager é um plugin de gerenciamento de arquivos/documentos para gerenciar, rastrear e controlar downloads de arquivos do seu site WordPress. O plugin tem atualmente mais de cem mil instalações ativas.
Detalhes sobre a falha no Plugin Download Manager
De acordo com o site Wordfence, a falha identificada por Andrea Bocchetti possibilita que invasores autenticados com permissões de nível de Colaborador e acima injetem scripts da Web arbitrários na página do arquivo que serão executados sempre que um administrador acessar a área do editor para a página do arquivo injetado.
Esta falha torna o plugin Download Manager vulnerável a scripts entre sites armazenados (Stored Cross-Site Scripting) por meio do parâmetro file[files][] em versões até a 3.2.46, inclusive, devido à sanitização insuficiente de entrada e escape de saída.
Para resolver o problema recomenda-se atualizar para a versão mais recente: 3.2.47.
Você encontra mais detalhes sobre falha identificada no artigo publicado no Medium.
