Plateforme
wordpress
Composant
csv-to-sorttable
Corrigé dans
4.2.1
La vulnérabilité CVE-2025-13070 affecte le plugin CSV to SortTable pour WordPress, dans les versions comprises entre 0 et 4.2. Elle permet à un utilisateur authentifié, même avec des privilèges limités comme contributeur, de réaliser une attaque de Local File Inclusion (LFI) en manipulant des attributs de shortcode. Cette faille peut permettre l'exécution de code arbitraire sur le serveur. Une mise à jour vers la dernière version du plugin est recommandée.
L'exploitation de cette vulnérabilité permet à un attaquant authentifié d'inclure des fichiers arbitraires sur le serveur WordPress. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des clés API, ou même du code source du site web. Dans le pire des cas, un attaquant pourrait exécuter du code malveillant sur le serveur, compromettant ainsi l'ensemble de l'application et des données associées. La capacité d'un contributeur à exploiter cette faille souligne la gravité de la situation, car elle ne nécessite pas de privilèges d'administrateur.
Cette vulnérabilité a été publiée le 9 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La sévérité est classée comme élevée (CVSS 8.1). Aucune entrée n'est visible sur le KEV de CISA pour le moment. Des Proof of Concept (PoC) publics pourraient émerger, augmentant le risque d'exploitation.
Websites using the CSV to SortTable WordPress plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "include(..)" /var/www/html/wp-content/plugins/csv-to-sorttable/• wordpress / composer / npm:
wp plugin list --status=all | grep 'csv-to-sorttable'• wordpress / composer / npm:
wp plugin update csv-to-sorttable• generic web: Check WordPress plugin directory for updated versions and security advisories.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin CSV to SortTable vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'appliquer des mesures d'atténuation temporaires. Il est fortement recommandé de restreindre l'accès aux fichiers sensibles et de désactiver les shortcodes non essentiels. Un Web Application Firewall (WAF) peut également être configuré pour bloquer les requêtes suspectes contenant des tentatives d'inclusion de fichiers. Surveillez les logs du serveur pour détecter des tentatives d'accès à des fichiers non autorisés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-13070 is a high-severity vulnerability in the CSV to SortTable WordPress plugin allowing authenticated users to read arbitrary files via Local File Inclusion (LFI).
You are affected if you are using the CSV to SortTable WordPress plugin versions 0 through 4.2.
Upgrade the CSV to SortTable WordPress plugin to a patched version as soon as it becomes available. Monitor the plugin developer's website for updates.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation.
Check the plugin developer's website and the WordPress plugin directory for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.