关键信息 描述 漏洞名称: Lana Downloads Manager < 1.10.0 - Admin+ Arbitrary File Download via Path Traversal 描述: 插件未验证用户输入的路径,允许具有管理员角色的用户执行路径遍历攻击并下载服务器上的任意文件。 影响插件 插件名称: lana-downloads-manager 修复版本: 1.10.0 参考 CVE编号: CVE-2025-2048 分类 类型: TRAVERSAL OWASP Top 10: A1: Injection CWE编号: CWE-22 CVSS评分: 4.1 (中等) 其他信息 原始研究员: Bruno Oliveira - IncludeSecurity 提交者: Bruno Oliveira - IncludeSecurity 提交者网站: https://includesecurity.com 提交者Twitter: includesecurity 验证状态: Yes WPVDB ID: 05c664e8-110e-4a31-8377-41a0422508a7 时间线 公开发布日期: 2025-03-11 添加日期: 2025-03-11 最后更新日期: 2025-03-11 其他相关漏洞 2023-03-20: All-In-One Security (AIOS) < 5.1.5 - Admin+ Arbitrary File/Folder Access via Traversal 2024-06-24: WordPress < 6.5.5 - Contributor+ Path Traversal in Template-Part Block 2019-03-07: Caldera Forms Pro < 1.8.2 - Unauthenticated Arbitrary File Read 2023-05-16: WP < 6.2.1 - Directory Traversal via Translation Files 2023-05-15: MW WP Form < 4.4.3 - Unauthenticated Path Traversal