Platform
wordpress
Component
wp-downloadmanager
Opgelost in
1.69.1
CVE-2026-2419 beschrijft een Path Traversal kwetsbaarheid in de WP-DownloadManager plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met Administrator-rechten in staat om willekeurige bestanden op de server te benaderen door de 'download_path' configuratie te misbruiken. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 1.69. Een patch is beschikbaar in versie 1.69.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om toegang te krijgen tot gevoelige bestanden op de webserver. Dit kan leiden tot blootstelling van configuratiebestanden, broncode, database credentials of andere vertrouwelijke informatie. De impact is verhoogd omdat de aanvaller Administrator-rechten nodig heeft, maar eenmaal binnen, kan de schade aanzienlijk zijn. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met scenario's waarbij gevoelige data wordt gelekt of de server wordt gecompromitteerd.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-02-18. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat dergelijke exploits in de toekomst kunnen verschijnen. De KEV status is momenteel onbekend. Er zijn geen actieve campagnes bekend die deze specifieke kwetsbaarheid misbruiken.
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP-DownloadManager plugin naar versie 1.69.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de gebruiker die toegang heeft tot de plugin configuratie. Controleer de 'download_path' configuratie op ongebruikelijke of verdachte paden. Na de upgrade, verifieer de correcte werking van de plugin door te controleren of de download functionaliteit correct werkt en geen onbevoegde bestanden toegankelijk zijn.
Update naar versie 1.69.1, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-2419 is a Path Traversal vulnerability in the WP-DownloadManager WordPress plugin, allowing authenticated administrators to access arbitrary files on the server due to insufficient validation of the download path.
You are affected if you are using WP-DownloadManager versions 0.0.0 through 1.69. Check your plugin version and upgrade immediately if vulnerable.
Upgrade WP-DownloadManager to version 1.69.1 or later. As a temporary workaround, restrict administrator access to the plugin's configuration settings and implement WAF rules to block directory traversal attempts.
Currently, there are no publicly known active exploitation campaigns targeting CVE-2026-2419, but it's crucial to apply the patch promptly to mitigate potential future risks.
Refer to the official WP-DownloadManager website and WordPress plugin repository for the latest security advisory and update information regarding CVE-2026-2419.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.