CVE-2025-1913

Nome do Software Vulnerável e Versões Afetadas Plugin Product Import Export for WooCommerce – Import Export Product CSV Suite para WordPress, versões até a 2.5.0, inclusive

Descrição A falha permite que atacantes autenticados com acesso de nível de Administrador ou superior injetem um Objeto PHP via desserialização de entrada não confiável proveniente do parâmetro form data. Esta vulnerabilidade não tem impacto a menos que outro plugin ou tema contendo uma cadeia POP esteja instalado no site. Se uma cadeia POP estiver presente, ela pode permitir que o atacante realize ações como excluir arquivos arbitrários, recuperar dados sensíveis ou executar código, dependendo da cadeia POP presente.

Recomendações Para versões até a 2.5.0, inclusive, considere desativar a desserialização de entrada não confiável do parâmetro form data como uma solução temporária até que uma correção esteja disponível. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.