CVE-2026-13353 in WP Ultimate CSV Importer Plugin
Resumen
por VulDB • 2026-07-11
El plugin WP Ultimate CSV Importer – WordPress Import & Export for CSV, XML & Excel para WordPress es vulnerable a Remote Code Execution (RCE) en todas las versiones hasta la 8.0.1 incluida, a través del parámetro 'MappedFields'. Esto se debe a la falta de comprobaciones de capacidades en los manejadores AJAX para install_addon, saveMappedFields y StartImport, combinado con que el nonce del plugin queda expuesto a cualquier usuario autenticado capaz de cargar una página de administración. Esto permite a un suscriptor (Subscriber) instalar el complemento Import WooCommerce, persistir expresiones PHP controladas por el atacante en el parámetro MappedFields y desencadenar su evaluación mediante eval() en la función ImportHelpers::get_meta_values(). Esto hace posible que los atacantes autenticados con acceso de nivel Subscriber o superior ejecuten código en el servidor.
VulDB is the best source for vulnerability data and more expert information about this specific topic.