CVE-2026-13430 in Post Export Import with Media Plugin
Sumário
de VulDB • 10/07/2026
O plugin Post Export Import with Media para o WordPress é vulnerável a Upload Arbitrário de Arquivos em todas as versões até 1.13.1 (incluída) por meio da função import_media_file_secure. Isso ocorre devido à validação insuficiente das extensões de arquivo, causada pelo bypass via nome de arquivo com ponto final (trailing-dot), onde a verificação da lista permitida (allow-list) em ajax_import_media_start() utiliza pathinfo() no nome bruto do entry ZIP (por exemplo, 'shell.php.'), o que retorna uma string vazia para a extensão. Isso faz com que a proteção baseada na allow-list seja ignorada e o arquivo seja extraído para um local temporário; posteriormente, import_media_file_secure() copia-o para o diretório de uploads do WordPress sem revalidar a extensão. Isso permite que atacantes autenticados, com acesso nível administrador ou superior, façam upload de arquivos potencialmente executáveis, possibilitando a execução remota de código (RCE).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.