CVE-2026-13353 in WP Ultimate CSV Importer Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin WP Ultimate CSV Importer – WordPress Import & Export für CSV, XML & Excel ist in allen Versionen bis einschließlich 8.0.1 anfällig für Remote Code Execution (RCE) über den Parameter 'MappedFields'. Dies liegt an fehlenden Berechtigungsprüfungen bei den AJAX-Handlern für install_addon, saveMappedFields und StartImport sowie daran, dass der Plugin-Nonce jedem authentifizierten Benutzer zugänglich ist, der eine Admin-Seite laden kann. Dadurch kann ein Subscriber das Import WooCommerce Add-on installieren, angreiferkontrollierte PHP-Ausdrücke im Parameter MappedFields persistieren und die Auswertung über eval() in ImportHelpers::get_meta_values() auslösen. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf Abonnement-Ebene oder höher, Code auf dem Server auszuführen.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

25.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377725

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!