PT-2025-37006 · WordPress · Wp Import – Ultimate Csv Xml Importer For Wordpress
Arkadiusz Hydzik
·
Publicado
2025-09-10
·
Atualizado
2025-09-15
·
CVE-2025-10040
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Plugin WP Import – Ultimate CSV XML Importer for WordPress versões anteriores à 7.28
Descrição:
O plugin WP Import – Ultimate CSV XML Importer for WordPress está vulnerável a acesso não autorizado a dados. Isso se deve à ausência de uma verificação de capacidades no endpoint da API
get ftp details, permitindo que atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior obtenham as credenciais SFTP/FTP configuradas.Recomendações:
Atualize o plugin WP Import – Ultimate CSV XML Importer for WordPress para a versão 7.28 ou posterior.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Import – Ultimate Csv Xml Importer For Wordpress