Plataforma
wordpress
Componente
wpdm-elementor
Corrigido em
1.3.1
Uma vulnerabilidade de injeção SQL cega foi descoberta no plugin Download Manager Addons for Elementor, afetando versões de 0.0.0 até 1.3.0. Esta falha permite que um atacante execute comandos SQL maliciosos, potencialmente comprometendo a integridade e confidencialidade dos dados armazenados no banco de dados. A atualização para a versão 2.0.0 corrige esta vulnerabilidade.
A injeção SQL cega permite que um atacante explore a vulnerabilidade sem ver diretamente os resultados das consultas SQL. Através de tentativas e erros, o atacante pode extrair informações sensíveis do banco de dados, como credenciais de usuários, dados de clientes ou informações confidenciais do site. Em um cenário de ataque bem-sucedido, um invasor pode obter acesso não autorizado a dados críticos, modificar informações ou até mesmo comprometer a funcionalidade do site. A ausência de validação adequada das entradas do usuário no plugin permite a exploração desta falha.
Esta vulnerabilidade foi divulgada em 2026-02-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma vulnerabilidade de injeção SQL cega, combinada com a popularidade do plugin, pode torná-la um alvo atraente para atacantes.
Websites utilizing Download Manager Addons for Elementor, particularly those with sensitive user data or financial transactions, are at significant risk. Shared hosting environments where multiple WordPress sites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wpdm_download_id = '" /var/www/html/wp-content/plugins/download-manager-addons-for-elementor/includes/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wpdm_get_download_link&file_id=1 | grep SQLdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Download Manager Addons for Elementor para a versão 2.0.0 ou superior, que corrige a vulnerabilidade de injeção SQL. Se a atualização imediata não for possível, considere implementar regras de firewall de aplicação web (WAF) para bloquear solicitações suspeitas que contenham caracteres SQL injetáveis. Além disso, revise e reforce as práticas de codificação para garantir a validação adequada de todas as entradas do usuário em plugins e temas WordPress. Após a atualização, confirme a correção executando testes de penetração ou verificando os logs de auditoria em busca de atividades suspeitas.
Atualize para a versão 2.0.0 ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24956 is a critical SQL Injection vulnerability affecting Download Manager Addons for Elementor, allowing attackers to potentially extract sensitive data from the database.
You are affected if you are using Download Manager Addons for Elementor versions 0.0.0 through 1.3.0. Upgrade to 2.0.0 or later to resolve the issue.
Upgrade Download Manager Addons for Elementor to version 2.0.0 or later. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the CRITICAL severity warrants immediate attention and remediation.
Refer to the official Download Manager Addons for Elementor website or WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.