Platform
wordpress
Component
wpdm-elementor
Opgelost in
1.3.1
CVE-2026-24956 beschrijft een SQL Injection kwetsbaarheid in de Download Manager Addons for Elementor WordPress plugin. Deze kwetsbaarheid stelt aanvallers in staat om via Blind SQL Injection gevoelige data te extraheren. De kwetsbaarheid treft versies van 0.0.0 tot en met 1.3.0. Een patch is beschikbaar in versie 2.0.0.
Een succesvolle exploitatie van deze SQL Injection kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot de database van de WordPress website. Aanvallers kunnen gevoelige informatie zoals gebruikersnamen, wachtwoorden, e-mailadressen en andere persoonlijke gegevens stelen. Blind SQL Injection maakt het mogelijk om data te extraheren, zelfs als er geen directe foutmeldingen worden weergegeven. Dit kan gebruikt worden om de database structuur te analyseren en gevoelige data te achterhalen. De impact is aanzienlijk, aangezien een compromis van de database de gehele website kan beïnvloeden.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van schrijven. De publicatie datum van de CVE is 2026-02-20. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de Blind SQL Injection aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar zullen komen.
Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQLdisclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Download Manager Addons for Elementor plugin naar versie 2.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de database of het implementeren van een Web Application Firewall (WAF) met regels om SQL Injection pogingen te detecteren en te blokkeren. Controleer de WordPress plugin directory op eventuele tijdelijke patches of workarounds. Na de upgrade, controleer de WordPress logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint te exploiteren.
Update naar versie 2.0.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24956 is a critical SQL Injection vulnerability affecting Download Manager Addons for Elementor, allowing attackers to potentially extract sensitive data from the database.
You are affected if you are using Download Manager Addons for Elementor versions 0.0.0 through 1.3.0. Upgrade to 2.0.0 or later to resolve the issue.
Upgrade Download Manager Addons for Elementor to version 2.0.0 or later. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the CRITICAL severity warrants immediate attention and remediation.
Refer to the official Download Manager Addons for Elementor website or WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.