CVE-2026-13353 in WP Ultimate CSV Importer Plugin
Sumário
de VulDB • 11/07/2026
O plugin WP Ultimate CSV Importer – WordPress Import & Export for CSV, XML & Excel para o WordPress é vulnerável a Remote Code Execution (RCE) em todas as versões até 8.0.1, inclusive, por meio do parâmetro 'MappedFields'. Isso ocorre devido à ausência de verificações de capacidade nos manipuladores AJAX para install_addon, saveMappedFields e StartImport, combinada com o nonce do plugin sendo exposto a qualquer usuário autenticado que possa carregar uma página administrativa, permitindo que um Subscriber instale o add-on Import WooCommerce, persista expressões PHP controladas pelo atacante no parâmetro MappedFields e acione sua avaliação por meio de eval() em ImportHelpers::get_meta_values(). Isso possibilita que atacantes autenticados com acesso nível Subscriber ou superior executem código no servidor.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.