WordPress · Zoomsounds · CVE-2021-39316
**Nome do software vulnerável e versões afetadas:
Plugin Zoomsounds versões <= 6.45 para WordPress
Descrição:
A vulnerabilidade permite que arquivos arbitrários, incluindo arquivos de configuração confidenciais como o wp-config.php, sejam baixados por meio da ação `dzsap download`, utilizando traversal de diretório no parâmetro `link`.
Recomendações:
Para versões do plugin Zoomsounds <= 6.45, atualize para uma versão superior a 6.45 para resolver o problema. Como solução temporária, considere restringir o acesso à ação `dzsap download` para minimizar o risco de exploração. Evite usar o parâmetro `link` no endpoint da API afetado até que o problema seja resolvido.