CVE-2025-12960

Nome do Software Vulnerável e Versões Afetadas Versões do Simple CSV Table até e incluindo a 1.0.1

Descrição O plugin Simple CSV Table para WordPress está suscetível a uma vulnerabilidade de Directory Traversal devido à validação de caminho inadequada. Especificamente, o parâmetro href dentro do shortcode [csv] não sanitiza corretamente a entrada fornecida pelo usuário antes de incorporá-la a um caminho de diretório base. Isso permite que atacantes autenticados com acesso de nível de Contribuidor ou superior leiam arquivos arbitrários no servidor. Esses arquivos podem conter dados sensíveis, incluindo credenciais de banco de dados e chaves de autenticação. O endpoint da API envolvido é o shortcode [csv], e o parâmetro vulnerável é href.

Recomendações As versões até e incluindo a 1.0.1 devem ser atualizadas para uma versão mais recente e corrigida, se disponível.