CVE-2026-13353 in WP Ultimate CSV Importer Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin WP Ultimate CSV Importer – WordPress Import & Export for CSV, XML & Excel para WordPress es vulnerable a Remote Code Execution (RCE) en todas las versiones hasta la 8.0.1 incluida, a través del parámetro 'MappedFields'. Esto se debe a la falta de comprobaciones de capacidades en los manejadores AJAX para install_addon, saveMappedFields y StartImport, combinado con que el nonce del plugin queda expuesto a cualquier usuario autenticado capaz de cargar una página de administración. Esto permite a un suscriptor (Subscriber) instalar el complemento Import WooCommerce, persistir expresiones PHP controladas por el atacante en el parámetro MappedFields y desencadenar su evaluación mediante eval() en la función ImportHelpers::get_meta_values(). Esto hace posible que los atacantes autenticados con acceso de nivel Subscriber o superior ejecuten código en el servidor.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Wordfence

Reservar

2026-06-25

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377725

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!