Vulnerabilities ›

CVE-2025-15364

High

WordPress Download Manager Plugin Privilege Escalation via Account Takeover (CVE-2025-15364)

CWE-353 — Weakness Type

                    Published: Jan 6, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.3

🔗 NVD Official

📄 Description (English)

The Download Manager plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.3.40. This is due to the plugin not properly validating a user's identity prior to updating their details like password. This makes it possible for unauthenticated attackers to change user's passwords, except administrators, and leverage that to gain access to their account.

🤖 AI Executive Summary

The Download Manager plugin for WordPress versions up to 3.3.40 contains a critical privilege escalation vulnerability (CWE-353) that allows unauthenticated attackers to change passwords of non-administrator users without proper identity validation. This enables complete account takeover of affected user accounts, potentially compromising sensitive organizational data and website integrity.

📄 Description (Arabic)

تتيح هذه الثغرة الأمنية للمهاجمين غير المصادق عليهم استغلال نقص التحقق من هوية المستخدم في إضافة Download Manager لتغيير كلمات المرور لجميع المستخدمين باستثناء المسؤولين. يمكن للمهاجم الوصول إلى حسابات المستخدمين المخترقة واستخدامها للوصول غير المصرح به إلى المحتوى الحساس أو تعديل البيانات أو تنفيذ عمليات ضارة. تصنف الثغرة ضمن CWE-353 المتعلقة بعدم الحفاظ على سلامة البيانات أثناء النقل مما يشكل خطراً كبيراً على المؤسسات التي تستخدم هذه الإضافة في مواقعها الإلكترونية.

🤖 ملخص تنفيذي (AI)

تحتوي إضافة Download Manager لووردبريس حتى الإصدار 3.3.40 على ثغرة حرجة في تصعيد الصلاحيات تسمح للمهاجمين غير المصادق عليهم بتغيير كلمات مرور المستخدمين غير الإداريين دون التحقق السليم من الهوية. يمكّن هذا من الاستيلاء الكامل على حسابات المستخدمين المتأثرة مما يعرض البيانات الحساسة وسلامة الموقع للخطر.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 07:34

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations using WordPress with Download Manager plugin face immediate risk of unauthorized access to user accounts, potentially exposing sensitive government, financial, or healthcare data. This vulnerability directly threatens compliance with PDPL data protection requirements and could enable attackers to compromise critical digital services.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي قطاع الرعاية الصحية قطاع التعليم قطاع التجارة الإلكترونية قطاع الإعلام والنشر

🎯 MITRE ATT&CK Techniques

T1078 (Valid Accounts) T1110.001 (Brute Force: Password Guessing) T1098 (Account Manipulation) T1556 (Modify Authentication Process) T1190 (Exploit Public-Facing Application)

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify all WordPress installations using Download Manager plugin versions up to 3.3.40 and disable the plugin until a security patch is released by the vendor

2. Implement Web Application Firewall (WAF) rules to block unauthorized password reset attempts and monitor authentication logs for suspicious account modification activities

3. Force password resets for all non-administrator users on affected systems and enable multi-factor authentication (MFA) across all WordPress accounts to mitigate account takeover risks

🔧 خطوات المعالجة (العربية)

1. تحديد جميع مواقع ووردبريس التي تستخدم إضافة Download Manager حتى الإصدار 3.3.40 فوراً وتعطيل الإضافة حتى صدور تحديث أمني من المطور

2. تطبيق قواعد جدار حماية تطبيقات الويب لحظر محاولات إعادة تعيين كلمات المرور غير المصرح بها ومراقبة سجلات المصادقة للكشف عن أنشطة تعديل الحسابات المشبوهة

3. فرض إعادة تعيين كلمات المرور لجميع المستخدمين غير الإداريين في الأنظمة المتأثرة وتفعيل المصادقة متعددة العوامل على جميع حسابات ووردبريس للحد من مخاطر الاستيلاء على الحسابات

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Access Control) ECC-2-1 (Vulnerability Management) ECC-3-1 (Security Monitoring) ECC-4-2 (Identity and Access Management)

🔵 SAMA CSF

IAM-01 (Identity and Access Management) TVM-01 (Vulnerability Management) MON-01 (Security Monitoring) APP-02 (Application Security)

🟡 ISO 27001:2022

A.9.2.1 (User Registration and De-registration) A.9.4.1 (Information Access Restriction) A.12.6.1 (Management of Technical Vulnerabilities) A.18.1.3 (Protection of Records)

🔗 References & Sources 3

🔗

https://plugins.trac.wordpress.org/browser/download-manager/tags/3.3.40/src/__/Crypt.ph...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3431915/download-manager#file7

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/067031e8-6aa8-451c-a318-b1848...

security@wordfence.com

📊 CVSS Score

7.3

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.3

CWECWE-353

EPSS0.04%

Exploit No

Patch ✓ Yes

Published 2026-01-06

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-353

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-15364

Introduce Yourself

Sign In Required