CVE-2026-13353 in WP Ultimate CSV Importer Plugin
الملخص
بحسب VulDB • 11/07/2026
يوجد ثغرة في تنفيذ الأكواد عن بُعد (Remote Code Execution) في إضافة WP Ultimate CSV Importer – WordPress Import & Export for CSV, XML & Excel الخاصة بـ ووردبريس، وتؤثر جميع الإصدارات حتى 8.0.1 وشاملةً لها، وذلك عبر المعلمة 'MappedFields'. ويعود ذلك إلى غياب فحوصات الصلاحيات اللازمة على معالجات AJAX الخاصة بالعمليات install_addon، وsaveMappedFields، وStartImport، بالإضافة إلى تسريب قيمة nonce الخاص بالإضافة لأي مستخدم مُصادق عليه (authenticated user) قادر على تحميل صفحة إدارة. مما يتيح لمستخدم من رتبة "مشترك" (Subscriber) تثبيت إضافة WooCommerce Importer، وإدخال تعبيرات PHP خاضعة لسيطرة المهاجم في معلمة MappedFields، ثم تحفيز تقييمها عبر دالة eval() داخل الدالة ImportHelpers::get_meta_values(). وهذا يمكّن المهاجمين المُصادق عليهم الذين يمتلكون رتبة "مشترك" أو أعلى من تنفيذ الأكواد على الخادم.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.