WordPress Download Manager Addons for Elementor プラグイン <= 1.3.0 - SQL Injection 脆弱性

このSQLインジェクション脆弱性は、攻撃者がデータベースへの不正アクセスを可能にし、機密情報の漏洩、データの改ざん、さらにはWebサイトの完全な制御といった深刻な被害をもたらす可能性があります。攻撃者は、悪意のあるSQLクエリを挿入することで、データベースの内容を閲覧、変更、削除することが可能です。特に、ユーザー認証情報や機密性の高いファイルパスなどが含まれるデータベースが標的となる可能性があります。類似のSQLインジェクション攻撃は、Webサイトの信頼性を損ない、ビジネスへの重大な影響を引き起こす可能性があります。

Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQL

1. 2026-02-20Disclosure

   disclosure

1. 予約済み2026-01-28
2. 公開日2026-02-20
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

まず、Download Manager Addons for Elementorをバージョン2.0.0にアップデートすることが最も効果的な対策です。アップデートが利用できない場合は、Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定してください。また、データベースへのアクセス制御を強化し、不要な権限を付与しないように注意が必要です。WordPressのセキュリティプラグインを活用し、データベースの整合性を定期的にチェックすることも有効です。アップデート後、データベースへのアクセスログを監視し、不正なアクセスがないか確認してください。

アクティブインストール数

7Kニッチ

プラグイン評価