Gcsc Vietnam

#9567de 53,638
28.9CVSS total
Vulnerabilidades · 4
Média
2
Alta
2
PT-2026-20385
6.5
2026-02-18
WordPress · Wp Import – Ultimate Csv Xml Importer For Wordpress · CVE-2026-1317
**Name of the Vulnerable Software and Affected Versions** WP Import – Ultimate CSV XML Importer for WordPress plugin versions prior to 7.38 **Description** The WP Import – Ultimate CSV XML Importer for WordPress plugin is susceptible to SQL Injection. This is caused by inadequate escaping of the `file name` parameter during file upload, which is then stored in the database and used in raw SQL queries without proper sanitization. An authenticated attacker with Subscriber-level access or higher can append SQL queries through a malicious filename. This can lead to the extraction of sensitive information from the database. The vulnerability is exploitable when the 'Single Import/Export' option is enabled and the server is running a PHP version less than 8.0. **Recommendations** Update the WP Import – Ultimate CSV XML Importer for WordPress plugin to version 7.38 or later. Disable the 'Single Import/Export' option. Ensure the server is running PHP version 8.0 or higher.
PT-2026-1010
6.4
2026-01-01
WordPress · Wp Import – Ultimate Csv Xml Importer · CVE-2025-14627
**Name of the Vulnerable Software and Affected Versions** WP Import – Ultimate CSV XML Importer for WordPress versions prior to 7.36 **Description** The plugin is susceptible to Server-Side Request Forgery (SSRF). This occurs because the plugin does not properly validate URLs after following Bitly shortlink redirects within the `upload function()` method. Specifically, the `unshorten bitly url()` function follows redirects without re-validating the final destination URL, allowing attackers to potentially make the server perform HTTP requests to arbitrary internal endpoints. This could include access to localhost, private IP ranges, and cloud metadata services. An authenticated attacker with Contributor-level access or higher can exploit this issue. **Recommendations** Update to version 7.36 or later.
PT-2025-47438
7.2
2025-11-19
WordPress · Wp Import – Ultimate Csv Xml Importer For Wordpress · CVE-2025-13145
**Nome do Software Vulnerável e Versões Afetadas** WP Import – Ultimate CSV XML Importer for WordPress versões anteriores à 7.33.1 **Descrição** O plugin WP Import – Ultimate CSV XML Importer for WordPress é suscetível a Injeção de Objetos PHP devido à desserialização de dados não confiáveis provenientes de importações de arquivos CSV. Isso ocorre dentro da função `import single post as csv` localizada no arquivo `SingleImportExport.php`. Um atacante autenticado com acesso de nível de administrador ou superior pode injetar um objeto PHP. Se houver uma cadeia de Injeção de Objetos PHP presente através de outro plugin ou tema instalado, isso pode permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. **Recomendações** Atualize o WP Import – Ultimate CSV XML Importer for WordPress para uma versão superior à 7.33.1.
PT-2025-45549
8.8
2025-11-08
WordPress · Smart Auto Upload Images · CVE-2025-12161
**Nome do Software Vulnerável e Versões Afetadas** Smart Auto Upload Images versões anteriores à 1.2.1 **Descrição** O plugin Smart Auto Upload Images para WordPress é afetado por uma falha relacionada à ausência de validação de tipo de arquivo durante o processo de criação automática de imagens. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior façam upload de arquivos arbitrários para o servidor, potencialmente resultando em execução remota de código. A funcionalidade de criação automática de imagens do plugin não verifica adequadamente o tipo dos arquivos enviados. Isso permite que atacantes contornem medidas de segurança e façam upload de arquivos maliciosos. **Recomendações** Versões anteriores à 1.2.1 devem ser atualizadas para corrigir este problema.