WordPress Download Manager Addons for Elementor प्लगइन <= 1.3.0 - SQL Injection भेद्यता

यह SQL Injection भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी, जैसे उपयोगकर्ता नाम, पासवर्ड, और अन्य गोपनीय डेटा तक पहुंचने की अनुमति दे सकती है। हमलावर डेटाबेस को संशोधित या हटा भी सकते हैं, जिससे वेबसाइट की कार्यक्षमता बाधित हो सकती है। इस भेद्यता का उपयोग वेबसाइट को पूरी तरह से नियंत्रित करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह ब्लाइंड SQL Injection है, जिसका अर्थ है कि हमलावर को डेटाबेस से प्रतिक्रिया देखने की आवश्यकता नहीं है, जिससे इसका पता लगाना मुश्किल हो जाता है।

Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQL

1. 2026-02-20Disclosure

   disclosure

1. आरक्षित2026-01-28
2. प्रकाशित2026-02-20
3. संशोधित2026-04-28
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, Download Manager Addons for Elementor को संस्करण 2.0.0 या उच्चतर में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL Injection हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, डेटाबेस उपयोगकर्ता अनुमतियों को सीमित करना और इनपुट सत्यापन लागू करना भेद्यता के प्रभाव को कम करने में मदद कर सकता है। सुनिश्चित करें कि सभी डेटाबेस कनेक्शन सुरक्षित हैं और कमजोरियों से सुरक्षित हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और कोई असामान्य गतिविधि नहीं है।

सक्रिय इंस्टॉलेशन

7Kआला

प्लगइन रेटिंग