PT-2025-47264 · WordPress · Download Panel
Ivan Cese
·
Publicado
2025-11-18
·
Atualizado
2025-11-18
·
CVE-2025-12961
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Download Panel para WordPress, versões até e incluindo a 1.3.3
Descrição
O plugin Download Panel para WordPress está suscetível à modificação não autorizada de configurações. Isso ocorre devido à falta de uma verificação de capacidade na ação AJAX 'wp ajax save settings'. Especificamente, a função
dlpn save settings() não possui verificação de capacidade, permitindo que atacantes autenticados com acesso de nível de Assinante ou superior modifiquem as configurações do plugin. Essas configurações incluem texto de exibição, links de download, cores dos botões e outras personalizações visuais.Recomendações
Atualize o plugin Download Panel para uma versão posterior à 1.3.3.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Download Panel