Plateforme
wordpress
Composant
wpdm-elementor
Corrigé dans
1.3.1
Une vulnérabilité d'injection SQL (SQL Injection) a été découverte dans le plugin Download Manager Addons for Elementor. Cette faille, due à une neutralisation incorrecte des caractères spéciaux dans les requêtes SQL, permet à un attaquant d'effectuer une injection SQL aveugle. Elle affecte les versions du plugin comprises entre 0.0.0 et 1.3.0 incluses. Une version corrigée, 2.0.0, est désormais disponible.
L'injection SQL aveugle permet à un attaquant d'extraire des informations sensibles de la base de données, telles que des noms d'utilisateur, des mots de passe hachés, des informations de connexion et des données de téléchargement. L'attaquant peut potentiellement modifier les données, compromettre l'intégrité du site web et prendre le contrôle du serveur. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée sans nécessiter d'authentification, ce qui augmente considérablement la surface d'attaque. Une exploitation réussie pourrait mener à une compromission complète du site WordPress et de ses données associées, similaire à des attaques visant des systèmes de gestion de contenu moins sécurisés.
Cette vulnérabilité a été rendue publique le 2026-02-20. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature critique de la vulnérabilité et de la disponibilité d'une version corrigée. Il est probable que des preuves de concept (PoC) seront rapidement disponibles, ce qui pourrait augmenter le risque d'exploitation.
Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQLdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Download Manager Addons for Elementor vers la version 2.0.0 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin pour empêcher toute exploitation. En attendant la mise à jour, il est recommandé de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes contenant des caractères SQL potentiellement malveillants. Surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été altérés.
Mettre à jour vers la version 2.0.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24956 is a critical SQL Injection vulnerability affecting Download Manager Addons for Elementor, allowing attackers to potentially extract sensitive data from the database.
You are affected if you are using Download Manager Addons for Elementor versions 0.0.0 through 1.3.0. Upgrade to 2.0.0 or later to resolve the issue.
Upgrade Download Manager Addons for Elementor to version 2.0.0 or later. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the CRITICAL severity warrants immediate attention and remediation.
Refer to the official Download Manager Addons for Elementor website or WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.