Das WordPress-Plugin WP-Download enthält eine Sicherheitslücke, die es Angreifern ermöglichen könnte, Daten zu manipulieren und an sensible Informationen zu gelangen. Die Sicherheitslücke wurde für Version 1.2 des Plugins bestätigt, könnte aber noch andere Versionen betreffen.

Eingaben in den Parameter dl_id in der Datei wp-download.php werden laut den Entwicklern nicht genügend überprüft und es könnten sich somit SQL-Einspeisungen vornehmen lassen, durch welche der Zugriff auf Anwendernamen und Passwort-Hashes möglich wäre. Für einen Angriff müsste jedoch der Prefix der Datenbank-Tabellen bekannt sein.

Ein Update auf die aktuelle Version 1.2.1 wird dringendst geraten.