CVE-2026-13353 in WP Ultimate CSV Importer Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin WordPress WP Ultimate CSV Importer – WordPress Import & Export per CSV, XML ed Excel è vulnerabile a Remote Code Execution (RCE) in tutte le versioni fino alla 8.0.1 inclusa, tramite il parametro 'MappedFields'. Ciò è dovuto all'assenza di controlli sui permessi nelle handler AJAX per install_addon, saveMappedFields e StartImport, combinato con l'esposizione del nonce del plugin a qualsiasi utente autenticato in grado di caricare una pagina amministrativa; ciò consente a un utente con ruolo Subscriber di installare il componente aggiuntivo Import WooCommerce, persistere espressioni PHP controllate dall'attaccante nel parametro MappedFields ed eseguirne la valutazione tramite eval() nella funzione ImportHelpers::get_meta_values(). Ciò rende possibile per gli attaccanti autenticati, dotati di accesso a livello di Subscriber o superiore, eseguire codice sul server.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.