CVE-2025-4798

Nome do Software Vulnerável e Versões Afetadas Plugin WP-DownloadManager para WordPress versões até e incluindo a 1.68.10

Descrição O problema decorre da falta de restrição sobre o diretório que um administrador pode selecionar para armazenar downloads, possibilitando que atacantes autenticados com acesso de nível de Administrador ou superior baixem e leiam qualquer arquivo no servidor, incluindo arquivos de sistema e de configuração. Isso pode levar à Execução Remota de Código (RCE).

Recomendações Para o plugin WP-DownloadManager para WordPress versões até e incluindo a 1.68.10: Atualize para uma versão que inclua as restrições necessárias sobre o diretório que um administrador pode selecionar para armazenar downloads, a fim de prevenir a leitura arbitrária de arquivos. Como medida paliativa temporária, considere restringir o acesso a arquivos e diretórios sensíveis no servidor para minimizar o risco de exploração.