Plataforma
wordpress
Componente
wpdm-elementor
Corregido en
1.3.1
La vulnerabilidad CVE-2026-24956 es una inyección SQL ciega detectada en el plugin Download Manager Addons for Elementor. Esta falla permite a un atacante inyectar comandos SQL maliciosos, comprometiendo potencialmente la integridad y confidencialidad de la base de datos. Afecta a las versiones desde 0.0.0 hasta la 1.3.0, y la solución recomendada es actualizar a la versión 2.0.0.
Un atacante que explote esta vulnerabilidad puede ejecutar consultas SQL arbitrarias en la base de datos del sitio WordPress. Esto podría resultar en la extracción de información sensible, como nombres de usuario, contraseñas, datos de clientes o cualquier otro dato almacenado en la base de datos. La inyección SQL ciega implica que el atacante no recibe una respuesta directa de la base de datos, lo que dificulta la explotación, pero no la imposibilita. El atacante debe realizar múltiples consultas para inferir la estructura de la base de datos y extraer la información deseada. La falta de validación adecuada de las entradas del usuario permite esta manipulación.
Esta vulnerabilidad fue publicada el 20 de febrero de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de la inyección SQL ciega la convierte en un objetivo potencial para atacantes con conocimientos técnicos, y la falta de una respuesta inmediata podría aumentar el riesgo de explotación. Se recomienda monitorear activamente los registros del servidor en busca de patrones sospechosos.
Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQLdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Download Manager Addons for Elementor a la versión 2.0.0 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear intentos de inyección SQL en las consultas a la base de datos. Además, se pueden aplicar configuraciones de seguridad adicionales en la base de datos, como limitar los privilegios de acceso a la base de datos para el usuario de WordPress. Después de la actualización, confirme la corrección ejecutando pruebas de penetración o utilizando herramientas de escaneo de vulnerabilidades para verificar que la inyección SQL ya no sea posible.
Actualizar a la versión 2.0.0 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24956 is a critical SQL Injection vulnerability affecting Download Manager Addons for Elementor, allowing attackers to potentially extract sensitive data from the database.
You are affected if you are using Download Manager Addons for Elementor versions 0.0.0 through 1.3.0. Upgrade to 2.0.0 or later to resolve the issue.
Upgrade Download Manager Addons for Elementor to version 2.0.0 or later. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the CRITICAL severity warrants immediate attention and remediation.
Refer to the official Download Manager Addons for Elementor website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.