Plataforma
wordpress
Componente
csv-to-sorttable
Corregido en
4.2.1
La vulnerabilidad CVE-2025-13070 afecta al plugin CSV to SortTable para WordPress, específicamente en versiones desde 0 hasta 4.2. Esta falla de inclusión de archivos locales (LFI) permite a usuarios autenticados, incluso aquellos con privilegios de contribuidor, acceder a archivos sensibles en el servidor. La vulnerabilidad ha sido publicada el 9 de diciembre de 2025 y se recomienda actualizar el plugin a una versión corregida o implementar medidas de mitigación.
Un atacante autenticado, como un usuario contribuidor, puede explotar esta vulnerabilidad para leer archivos arbitrarios en el servidor web. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de base de datos, comprometiendo la confidencialidad de la información sensible. La inclusión de archivos locales permite la ejecución de código arbitrario si el atacante puede manipular el archivo incluido para ejecutar comandos del sistema operativo. El impacto potencial es significativo, pudiendo resultar en la toma de control completa del servidor WordPress.
La vulnerabilidad CVE-2025-13070 se ha hecho pública el 9 de diciembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad LFI la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas WordPress que utilizan este plugin.
Websites using the CSV to SortTable WordPress plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "include(..)" /var/www/html/wp-content/plugins/csv-to-sorttable/• wordpress / composer / npm:
wp plugin list --status=all | grep 'csv-to-sorttable'• wordpress / composer / npm:
wp plugin update csv-to-sorttable• generic web: Check WordPress plugin directory for updated versions and security advisories.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin CSV to SortTable a una versión corregida que solucione la vulnerabilidad de inclusión de archivos. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los archivos sensibles en el servidor web. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio raíz del sitio web. Es crucial revisar y endurecer la configuración de permisos de archivos y directorios en el servidor WordPress para limitar el impacto de una posible explotación.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13070 is a high-severity vulnerability in the CSV to SortTable WordPress plugin allowing authenticated users to read arbitrary files via Local File Inclusion (LFI).
You are affected if you are using the CSV to SortTable WordPress plugin versions 0 through 4.2.
Upgrade the CSV to SortTable WordPress plugin to a patched version as soon as it becomes available. Monitor the plugin developer's website for updates.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation.
Check the plugin developer's website and the WordPress plugin directory for the official advisory.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.