Plataforma
wordpress
Componente
wp-ultimate-csv-importer
Corregido en
7.28.1
El plugin WP Import – Ultimate CSV XML Importer para WordPress es vulnerable a una ejecución remota de código (RCE). Esta vulnerabilidad, presente en versiones hasta la 7.28, se debe a la función writetocustomfile() que escribe código PHP sin filtrar en un archivo. Un atacante autenticado con privilegios de Suscriptor o superiores puede aprovechar esta falla para ejecutar código malicioso en el servidor WordPress.
Un atacante con acceso autenticado (nivel Suscriptor o superior) puede explotar esta vulnerabilidad para inyectar código PHP en el archivo customFunction.php. Al acceder a este archivo, el código inyectado se ejecuta, permitiendo al atacante tomar el control del servidor WordPress. Esto podría incluir la modificación de archivos, la exfiltración de datos sensibles (como credenciales de bases de datos o información de usuarios), la instalación de puertas traseras o el uso del servidor para lanzar ataques contra otros sistemas. El impacto es significativo, ya que la ejecución remota de código permite un control completo sobre el entorno WordPress.
Esta vulnerabilidad ha sido publicada públicamente el 17 de septiembre de 2025. No se ha reportado explotación activa a la fecha, pero la disponibilidad de la descripción técnica de la vulnerabilidad aumenta el riesgo de que sea explotada. Es importante aplicar las medidas de mitigación lo antes posible para reducir la superficie de ataque. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Websites utilizing the WP Import plugin, particularly those with a large number of users with Subscriber or higher roles, are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. WordPress sites with outdated security practices and inadequate user permission management are also at increased risk.
• wordpress / composer / npm:
grep -r 'write_to_customfile\(' /var/www/html/wp-content/plugins/wp-import/• wordpress / composer / npm:
wp plugin list --status=active | grep "WP Import"• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -name 'customFunction.php' -type fdisclosure
Estado del Exploit
EPSS
0.35% (58% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin WP Import a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de escritura al directorio donde se encuentra el archivo customFunction.php. Además, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que intenten escribir en este archivo. Monitorear los logs del servidor en busca de intentos de escritura sospechosos en el directorio del plugin también puede ayudar a detectar y prevenir ataques.
Actualice el plugin WP Import – Ultimate CSV XML Importer for WordPress a la última versión disponible. Esto solucionará la vulnerabilidad de ejecución remota de código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-10057 is a Remote Code Execution vulnerability in the WP Import plugin for WordPress, allowing authenticated attackers to execute arbitrary code.
You are affected if you are using WP Import versions 7.20 through 7.28 and have not upgraded to a patched version.
Upgrade the WP Import plugin to the latest available version as soon as a patch is released by the developer. Implement WAF rules and restrict file upload permissions as interim measures.
While no public exploits are currently known, the ease of exploitation suggests a high probability of exploitation if left unpatched.
Refer to the official WP Import plugin website and WordPress security announcements for the latest advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.