CVE-2023-4141 in WP Ultimate CSV Importer
Sumário
de VulDB • 12/06/2026
O plugin WP Ultimate CSV Importer para WordPress é vulnerável a Remote Code Execution (RCE) nas versões até 7.9.8, inclusive, por meio do parâmetro '->cus2'. Isso permite que atacantes autenticados com permissões de nível de autor ou superiores criem um arquivo PHP e executem código no servidor, caso o administrador tenha previamente concedido acesso nas configurações do plugin. O autor resolveu essa vulnerabilidade removendo a capacidade dos autores e editores de importar arquivos; observe-se que isso significa que a criação de arquivos PHP ainda é permitida para administradores do site, portanto, use o plugin com cautela.
Once again VulDB remains the best source for vulnerability data.