CVE-2025-5061

Nome do Software Vulnerável e Versões Afetadas Plugin WP Import Export Lite para WordPress, versões até a 3.9.29 (inclusive)

Descrição O plugin WP Import Export Lite para WordPress é suscetível a upload de arquivos arbitrários devido à falta de validação de tipo de arquivo dentro da função wpie parse upload data. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior, e permissões concedidas por um Administrador, façam upload de arquivos arbitrários para o servidor afetado, potencialmente levando à execução remota de código. A vulnerabilidade foi parcialmente corrigida na versão 3.9.29.

Recomendações Versões anteriores à 3.9.29 devem ser atualizadas. Como solução alternativa temporária, restrinja as permissões de upload de arquivo para usuários com acesso de nível de Assinante ou inferior.