WordPress · File Manager · CVE-2024-2654
**Nome do software vulnerável e versões afetadas**
Plugin File Manager para versões do WordPress até a 7.2.5, inclusive
**Descrição**
A vulnerabilidade permite que invasores autenticados com acesso de administrador ou superior leiam o conteúdo de arquivos zip arbitrários no servidor — que podem conter informações confidenciais — por meio da função `fm download backup`.
**Recomendações**
Para versões até a 7.2.5, inclusive, atualize para uma versão que corrija este problema para evitar exploração.
Como solução temporária, considere restringir o acesso à função `fm download backup` até que um patch esteja disponível.