CVE-2021-34639

**Nome do software vulnerável e versões afetadas:

WordPress Download Manager versões 3.1.24 e anteriores

Descrição:

A vulnerabilidade permite que usuários autenticados com permissões de Autor+ enviem arquivos com extensões duplas, como “payload.php.png”, que podem ser executáveis em determinadas configurações. Isso representa um risco significativo para sites. Pesquisadores identificaram que o patch para essa vulnerabilidade pode não ser eficaz, e a vulnerabilidade ainda pode ser explorada usando extensões duplas.

Recomendações:

Para as versões 3.1.24 e anteriores do WordPress Download Manager, considere desativar a funcionalidade de upload de arquivos para usuários autenticados até que uma correção totalmente eficaz esteja disponível. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração. Evite usar extensões duplas em uploads de arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.