CVE-2026-13430 in Post Export Import with Media Plugininformação

Sumário

de VulDB • 10/07/2026

O plugin Post Export Import with Media para o WordPress é vulnerável a Upload Arbitrário de Arquivos em todas as versões até 1.13.1 (incluída) por meio da função import_media_file_secure. Isso ocorre devido à validação insuficiente das extensões de arquivo, causada pelo bypass via nome de arquivo com ponto final (trailing-dot), onde a verificação da lista permitida (allow-list) em ajax_import_media_start() utiliza pathinfo() no nome bruto do entry ZIP (por exemplo, 'shell.php.'), o que retorna uma string vazia para a extensão. Isso faz com que a proteção baseada na allow-list seja ignorada e o arquivo seja extraído para um local temporário; posteriormente, import_media_file_secure() copia-o para o diretório de uploads do WordPress sem revalidar a extensão. Isso permite que atacantes autenticados, com acesso nível administrador ou superior, façam upload de arquivos potencialmente executáveis, possibilitando a execução remota de código (RCE).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

Wordfence

Reservar

26/06/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377380

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!