Se ha identificado una vulnerabilidad crítica en el plugin Download Manager para WordPress, ampliamente utilizado por más de 100,000 sitios web para gestionar descargas. Esta falla podría ser explotada por atacantes no autenticados para ejecutar código arbitrario en los sitios afectados.
- CVE-2024-11740 (CVSS: 7.3): Esta vulnerabilidad permite la ejecución arbitraria de shortcodes debido a la falta de validación adecuada antes de procesar valores en la función
do_shortcode
. Esto posibilita que atacantes no autenticados ejecuten código arbitrario, comprometiendo la funcionalidad y la seguridad del sitio.
Productos y versiones afectadas:
- Versiones anteriores a la 3.3.04 del plugin Download Manager de WordPress.
Solución:
- Actualizar a la versión 3.3.04 o posterior.
Recomendaciones:
- Actualizar el plugin Download Manager a la última versión disponible.
- Implementar controles de acceso para minimizar el riesgo de acceso no autorizado.
- Monitorear los sistemas afectados para detectar y mitigar posibles intentos de explotación.
Referencias: