الثغرات ›

CVE-2025-15364

مرتفع

ثغرة تصعيد الصلاحيات عبر الاستيلاء على الحسابات في إضافة Download Manager لووردبريس

CWE-353 — نوع الضعف

                    نُشر: Jan 6, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Download Manager plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions up to, and including, 3.3.40. This is due to the plugin not properly validating a user's identity prior to updating their details like password. This makes it possible for unauthenticated attackers to change user's passwords, except administrators, and leverage that to gain access to their account.

🤖 ملخص AI

The Download Manager WordPress plugin versions up to 3.3.40 contains a privilege escalation vulnerability allowing unauthenticated attackers to change user passwords and take over accounts. This vulnerability bypasses identity validation during user detail updates, excluding administrator accounts.

📄 الوصف (العربية)

يفتقر ملحق Download Manager لـ WordPress إلى التحقق الصحيح من هوية المستخدم قبل السماح بتحديث تفاصيل الحساب مثل كلمات المرور. يمكن للمهاجمين غير المصرح لهم استغلال هذا الضعف لتغيير كلمات مرور المستخدمين والوصول غير المصرح به إلى حساباتهم. تؤثر هذه الثغرة على جميع الإصدارات حتى 3.3.40.

🤖 ملخص تنفيذي (AI)

ملحق Download Manager لـ WordPress في الإصدارات حتى 3.3.40 يحتوي على ثغرة تصعيد امتيازات تسمح للمهاجمين غير المصرح لهم بتغيير كلمات مرور المستخدمين والاستيلاء على الحسابات. تتجاوز هذه الثغرة التحقق من الهوية أثناء تحديث تفاصيل المستخدم، باستثناء حسابات المسؤولين.

🤖 التحليل الذكي آخر تحليل: May 7, 2026 20:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1098.001 T1190

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Download Manager plugin to version 3.3.41 or later immediately. If immediate patching is not possible, disable the plugin and remove it from all WordPress installations. Implement Web Application Firewall (WAF) rules to monitor and block suspicious password change requests. Conduct password audits and force password resets for all non-administrator users.

🔧 خطوات المعالجة (العربية)

قم بتحديث ملحق Download Manager إلى الإصدار 3.3.41 أو أحدث على الفور. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل الملحق وإزالته من جميع تثبيتات WordPress. قم بتطبيق قواعد جدار حماية تطبيقات الويب لمراقبة وحظر طلبات تغيير كلمات المرور المريبة. أجرِ عمليات تدقيق كلمات المرور وأجبر إعادة تعيين كلمات المرور لجميع المستخدمين غير المسؤولين.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 IA-2

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://plugins.trac.wordpress.org/browser/download-manager/tags/3.3.40/src/__/Crypt.ph...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3431915/download-manager#file7

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/067031e8-6aa8-451c-a318-b1848...

security@wordfence.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-353

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-06

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-353

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2025-15364

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب