Plataforma
wordpress
Componente
wp-all-import
Corregido en
3.9.7
La vulnerabilidad CVE-2025-12733 es una falla de Ejecución Remota de Código (RCE) que afecta al plugin WP All Import – Drag & Drop Import for CSV, XML, Excel & Google Sheets para WordPress. Esta vulnerabilidad permite a atacantes autenticados, con permisos de importación (generalmente administradores), inyectar y ejecutar código PHP arbitrario en el servidor. Las versiones afectadas son desde 0.0.0 hasta la 3.9.6, y la solución es actualizar a la versión 4.0.0.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el servidor WordPress. Esto incluye la capacidad de modificar archivos, instalar malware, robar datos confidenciales (como credenciales de usuario, información de clientes, o datos de la base de datos), y utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La ejecución de código arbitrario permite una amplia gama de acciones maliciosas, desde la defacement del sitio web hasta la exfiltración de datos sensibles y la instalación de ransomware. La gravedad de esta vulnerabilidad se agrava por la popularidad del plugin WP All Import, lo que significa que un gran número de sitios WordPress podrían ser susceptibles.
Esta vulnerabilidad ha sido publicada públicamente el 13 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA, ni hay evidencia de explotación activa en campañas conocidas. La vulnerabilidad se basa en el uso inseguro de la función eval() en el código del plugin, un patrón común en vulnerabilidades de RCE. La disponibilidad de un proof-of-concept (POC) público podría facilitar la explotación por parte de atacantes.
Websites using the WP All Import plugin, particularly those with multiple administrators or users with import capabilities, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to a compromise of others.
• wordpress / composer / npm:
grep -r 'pmxi_if' /var/www/html/wp-content/plugins/wp-all-import/• wordpress / composer / npm:
wp plugin list | grep 'wp-all-import'• wordpress / composer / npm:
wp plugin update wp-all-import --version=4.0.0• generic web: Check WordPress plugin directory for known malicious versions of WP All Import.
disclosure
Estado del Exploit
EPSS
0.43% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WP All Import a la versión 4.0.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir los permisos de importación a usuarios de confianza. Además, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan código PHP malicioso en las plantillas de importación. Monitorear los logs del servidor en busca de patrones sospechosos, como la ejecución de funciones PHP desconocidas o la modificación de archivos críticos, también puede ayudar a detectar y prevenir ataques. Se recomienda deshabilitar temporalmente la funcionalidad de importación si no es esencial.
Actualizar a la versión 4.0.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12733 is a Remote Code Execution vulnerability in the WP All Import plugin for WordPress, allowing attackers to execute arbitrary PHP code.
You are affected if you are using WP All Import versions 0.0.0 through 3.9.6. Upgrade to version 4.0.0 or later to mitigate the risk.
Upgrade the WP All Import plugin to version 4.0.0 or later. If immediate upgrade is not possible, restrict import capabilities and implement WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the official WP All Import website and WordPress security announcements for the latest advisory and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.