Platform
wordpress
Component
cm-download-manager
Opgelost in
2.9.7
CVE-2025-30910 beschrijft een 'Path Traversal' kwetsbaarheid in CM Download Manager, waardoor ongeautoriseerde toegang tot bestanden mogelijk is. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de beoogde directory te benaderen, wat kan leiden tot data-exfiltratie of systeemcompromittering. De kwetsbaarheid treft versies van CM Download Manager van 0.0.0 tot en met 2.9.6. Een patch is beschikbaar in versie 2.9.7.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen, waaronder configuratiebestanden, broncode en gevoelige data. Dit kan leiden tot volledige controle over de server, data-exfiltratie en verdere aanvalsmogelijkheden. Afhankelijk van de configuratie van de CM Download Manager en de privileges van de gebruiker die de applicatie uitvoert, kan de impact aanzienlijk zijn. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij aanvallers toegang krijgen tot gevoelige informatie door de padnaam te manipuleren.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-04-01. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend, maar de path traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De KEV status is momenteel onbekend.
WordPress websites utilizing the CM Download Manager plugin, particularly those with older versions (0.0.0 - 2.9.6), are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cm-download-manager/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/cm-download-manager/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.38% (59% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten naar versie 2.9.7 van CM Download Manager, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de CM Download Manager directory via een Web Application Firewall (WAF) of proxy. Configureer de WAF om requests met path traversal patronen (zoals '../') te blokkeren. Controleer ook de configuratie van CM Download Manager om te zorgen dat de directory waarin bestanden worden opgeslagen, correct is ingesteld en beveiligd. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de CM Download Manager interface.
Actualice el plugin CM Download Manager a la última versión disponible para mitigar la vulnerabilidad de recorrido de directorio. Verifique las notas de la versión del plugin para obtener instrucciones específicas de actualización. Considere implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30910 is a vulnerability in CM Download Manager allowing attackers to read files by manipulating file paths. It has a HIGH severity rating and affects versions 0.0.0 through 2.9.6.
You are affected if your CM Download Manager plugin is running version 0.0.0 to 2.9.6. Check your plugin version and upgrade immediately.
Upgrade the CM Download Manager plugin to version 2.9.7 or later. If immediate upgrade is not possible, implement a WAF rule to block path traversal attempts.
As of the current date, there are no confirmed reports of active exploitation, but it's crucial to patch promptly to mitigate potential risk.
Refer to the official CM Download Manager website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.