CVE-2026-5357

Name of the Vulnerable Software and Affected Versions Download Manager plugin for WordPress versões até e incluindo 3.3.52

Description O plugin Download Manager para WordPress é suscetível a Cross-Site Scripting Armazenado através do parâmetro sid do shortcode 'wpdm members'. Isso ocorre devido à sanitização e escape de saída inadequados do atributo sid do shortcode fornecido pelo usuário. O parâmetro sid é extraído sem sanitização dentro da função members() e armazenado usando update post meta(), e então ecoado diretamente em um atributo id HTML no template members.php sem esc attr(). Isso permite que invasores autenticados com acesso de nível de colaborador ou superior injetem scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página afetada.

Recommendations Download Manager plugin for WordPress versão 3.3.53 e posteriores Desative o shortcode 'wpdm members' se ele não for necessário Sanitize e escape o parâmetro sid antes de usá-lo no shortcode 'wpdm members'