Plataforma
wordpress
Componente
cm-download-manager
Corregido en
2.9.7
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos (Path Traversal) en CM Download Manager, un plugin para WordPress. Esta vulnerabilidad permite a un atacante acceder a archivos sensibles en el servidor, potencialmente comprometiendo la confidencialidad e integridad de los datos. Afecta a las versiones desde 0.0.0 hasta la 2.9.6, y se ha solucionado en la versión 2.9.7.
La vulnerabilidad de Path Traversal en CM Download Manager permite a un atacante, mediante la manipulación de parámetros en las solicitudes HTTP, acceder a archivos fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de bases de datos, dependiendo de los permisos del servidor web. Un atacante podría, por ejemplo, leer el archivo wp-config.php para obtener las credenciales de la base de datos de WordPress, permitiéndole acceder y modificar la información almacenada. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información confidencial, la modificación de datos, o incluso la toma del control del servidor web.
Esta vulnerabilidad ha sido publicada el 1 de abril de 2025. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. La vulnerabilidad se considera de alta severidad (CVSS 8.6) debido a su potencial impacto. Se recomienda monitorear activamente los sistemas afectados en busca de signos de intrusión.
WordPress websites utilizing the CM Download Manager plugin, particularly those with older versions (0.0.0 - 2.9.6), are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cm-download-manager/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/cm-download-manager/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar CM Download Manager a la versión 2.9.7 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al directorio del plugin a través de reglas de firewall o WAF. Además, se debe revisar la configuración del servidor web para asegurar que las directivas de seguridad, como la deshabilitación de la ejecución de scripts en directorios sensibles, estén correctamente configuradas. Tras la actualización, verifique que la vulnerabilidad ha sido efectivamente resuelta intentando acceder a un archivo fuera del directorio esperado y confirmando que la solicitud es rechazada.
Actualice el plugin CM Download Manager a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las notas de la versión del plugin para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-30910 is a vulnerability in CM Download Manager allowing attackers to read files by manipulating file paths. It has a HIGH severity rating and affects versions 0.0.0 through 2.9.6.
You are affected if your CM Download Manager plugin is running version 0.0.0 to 2.9.6. Check your plugin version and upgrade immediately.
Upgrade the CM Download Manager plugin to version 2.9.7 or later. If immediate upgrade is not possible, implement a WAF rule to block path traversal attempts.
As of the current date, there are no confirmed reports of active exploitation, but it's crucial to patch promptly to mitigate potential risk.
Refer to the official CM Download Manager website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.