CVE-2024-13799

Nome do Software Vulnerável e Versões Afetadas Plugin User Private Files – File Upload & Download Manager with Secure File Sharing para WordPress nas versões até, e incluindo, a 2.1.3

Descrição O problema está relacionado ao Cross-Site Scripting Armazenado via o parâmetro new-fldr-name devido à sanitização de entrada e escape de saída insuficientes. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página injetada.

Recomendações Para as versões até, e incluindo, a 2.1.3, atualize para uma versão superior à 2.1.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro new-fldr-name para minimizar o risco de exploração.