CVE-2023-4140 in WP Ultimate CSV Importer Plugin
Tóm tắt
Bởi VulDB • 13/06/2026
Plugin WP Ultimate CSV Importer cho WordPress có lỗ hổng tăng đặc quyền trong các phiên bản từ 7.9.8 trở về trước do hạn chế không đủ chặt chẽ đối với hàm `get_header_values`. Điều này cho phép kẻ tấn công đã xác thực, ngay cả khi chỉ có ít đặc quyền như tác giả (author), nếu quản trị viên từng cấp quyền truy cập trong cài đặt của plugin, để thay đổi vai trò người dùng bằng cách cung cấp tham số `'wp_capabilities->cus1'`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.