CVE-2021-34638

**Nome do software vulnerável e versões afetadas:

WordPress Download Manager, versões 3.1.24 e anteriores

Descrição:

A vulnerabilidade permite que usuários autenticados com funções de Contribuidor ou superiores obtenham informações confidenciais de arquivos de configuração. Além disso, usuários com função de Autor ou superior podem realizar ataques XSS definindo o modelo de download como um arquivo que contenha informações de configuração ou um JavaScript enviado com extensão de imagem.

Recomendações:

Para as versões 3.1.24 e anteriores do WordPress Download Manager, atualize para uma versão posterior à 3.1.24 para resolver o problema.

Como solução temporária, considere restringir o acesso ao recurso de modelo de download para usuários com funções de Contribuidor+ e Autor+ até que um patch esteja disponível.

Restrinja a capacidade dos usuários de enviar arquivos com conteúdo executável, como arquivos JavaScript com extensões de imagem, para minimizar o risco de ataques XSS.