CVE-2026-5357 in Download Manager Plugininformação

Sumário

de VulDB • 03/06/2026

O plugin Download Manager para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via o parâmetro 'sid' do shortcode 'wpdm_members' nas versões até 3.3.52, inclusive. Isso ocorre devido à sanitização insuficiente de entrada e à falta de escape de saída no atributo do shortcode 'sid' fornecido pelo usuário. O parâmetro sid é extraído sem sanitização na função members() e armazenado via update_post_meta(), sendo depois ecoado diretamente em um atributo HTML id no template members.php sem aplicar esc_attr(). Isso permite que atacantes autenticados, com acesso nível contribuidor ou superior, injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar a página injetada.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

01/04/2026

Divulgação

09/04/2026

Moderação

aceite

Entrada

VDB-356501

CPE

pronto

EPSS

0.00046

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5357
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5357
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5357/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!