PT-2025-47438 · WordPress · Wp Import – Ultimate Csv Xml Importer For Wordpress
Dieu Link
+1
·
Publicado
2025-11-19
·
Atualizado
2025-12-01
·
CVE-2025-13145
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
WP Import – Ultimate CSV XML Importer for WordPress versões anteriores à 7.33.1
Descrição
O plugin WP Import – Ultimate CSV XML Importer for WordPress é suscetível a Injeção de Objetos PHP devido à desserialização de dados não confiáveis provenientes de importações de arquivos CSV. Isso ocorre dentro da função
import single post as csv localizada no arquivo SingleImportExport.php. Um atacante autenticado com acesso de nível de administrador ou superior pode injetar um objeto PHP. Se houver uma cadeia de Injeção de Objetos PHP presente através de outro plugin ou tema instalado, isso pode permitir ao atacante excluir arquivos arbitrários, recuperar dados sensíveis ou executar código.Recomendações
Atualize o WP Import – Ultimate CSV XML Importer for WordPress para uma versão superior à 7.33.1.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Import – Ultimate Csv Xml Importer For Wordpress