CVE-2026-13353 in WP Ultimate CSV Importer Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin WP Ultimate CSV Importer – WordPress Import & Export for CSV, XML & Excel para o WordPress é vulnerável a Remote Code Execution (RCE) em todas as versões até 8.0.1, inclusive, por meio do parâmetro 'MappedFields'. Isso ocorre devido à ausência de verificações de capacidade nos manipuladores AJAX para install_addon, saveMappedFields e StartImport, combinada com o nonce do plugin sendo exposto a qualquer usuário autenticado que possa carregar uma página administrativa, permitindo que um Subscriber instale o add-on Import WooCommerce, persista expressões PHP controladas pelo atacante no parâmetro MappedFields e acione sua avaliação por meio de eval() em ImportHelpers::get_meta_values(). Isso possibilita que atacantes autenticados com acesso nível Subscriber ou superior executem código no servidor.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Wordfence

Reservar

25/06/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377725

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!