CVE-2021-24693

Versões do plugin Simple Download Monitor para WordPress anteriores à 3.9.5

A vulnerabilidade permite que usuários com uma função tão baixa quanto a de Colaborador realizem ataques de Stored Cross-Site Scripting devido à falta de escapamento do meta de postagem File Thumbnail antes de exibi-lo em algumas páginas. Isso pode levar à execução de código JavaScript no contexto de um revisor, como um administrador, resultando potencialmente na criação de uma conta de administrador fraudulenta ou na instalação de um plugin malicioso.

Para versões anteriores à 3.9.5, atualize para a versão 3.9.5 ou posterior para resolver o problema.

Como solução temporária, considere restringir a função dos usuários que podem acessar e modificar o meta de postagem File Thumbnail para evitar possíveis explorações.