CVE-2026-13353 in WP Ultimate CSV Importer Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin WordPress WP Ultimate CSV Importer – WordPress Import & Export per CSV, XML ed Excel è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 8.0.1 inclusa, tramite il parametro 'MappedFields'. Ciò è dovuto all'assenza di controlli sui permessi nelle handler AJAX per install_addon, saveMappedFields e StartImport, combinato con l'esposizione del nonce del plugin a qualsiasi utente autenticato in grado di caricare una pagina amministrativa; ciò consente a un utente con ruolo Subscriber di installare il componente aggiuntivo Import WooCommerce, persistere espressioni PHP controllate dall'attaccante nel parametro MappedFields ed eseguirne la valutazione tramite eval() nella funzione ImportHelpers::get_meta_values(). Ciò rende possibile per gli attaccanti autenticati, dotati di accesso a livello di Subscriber o superiore, eseguire codice sul server.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

25/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!