Plateforme
wordpress
Composant
wp-ultimate-csv-importer
Corrigé dans
7.20.1
7.20.1
La vulnérabilité CVE-2025-2007 concerne un accès arbitraire aux fichiers dans le plugin WordPress « WP Ultimate CSV Importer – Import CSV, XML & Excel into WordPress ». Cette faille permet à un attaquant authentifié, avec un niveau d'accès Subscriber ou supérieur, de supprimer des fichiers sensibles sur le serveur. Elle affecte les versions de 0.0.0 à 7.20, mais a été corrigée dans la version 7.20.1.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant authentifié de supprimer des fichiers arbitraires sur le serveur WordPress. La suppression de fichiers critiques, tels que wp-config.php, peut entraîner une exécution de code à distance (RCE), compromettant ainsi l'ensemble de l'installation WordPress. L'attaquant n'a besoin que d'un accès de niveau Subscriber pour exploiter cette faille, ce qui rend la surface d'attaque relativement large. La suppression de fichiers de configuration peut également permettre l'accès à des informations sensibles, telles que les identifiants de la base de données.
Cette vulnérabilité a été rendue publique le 1er avril 2025. Bien qu'il n'y ait pas d'indication d'une exploitation active à ce jour, la facilité d'exploitation et la disponibilité d'un accès authentifié relativement bas rendent cette vulnérabilité préoccupante. Il est conseillé de surveiller les forums de sécurité et les sites de partage de code pour détecter l'émergence de preuves d'exploitation. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-ultimate-csv-importer'• wordpress / composer / npm:
wp plugin update wp-ultimate-csv-importer --alldisclosure
Statut de l'Exploit
EPSS
5.63% (percentile 90%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin « WP Ultimate CSV Importer » vers la version 7.20.1. Si la mise à jour est problématique, envisagez de restaurer une sauvegarde antérieure à l'installation de la version vulnérable. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les privilèges des utilisateurs ayant un accès Subscriber. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte, notamment des tentatives de suppression de fichiers. Un pare-feu applicatif web (WAF) peut être configuré pour bloquer les requêtes suspectes ciblant la fonction deleteImage().
Actualice el plugin WP Ultimate CSV Importer a la versión 7.20.1 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor o superiores puedan eliminar archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-2007 is a vulnerability in the WP Ultimate CSV Importer plugin for WordPress that allows authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using the WP Ultimate CSV Importer plugin in versions 0.0.0 through 7.20. Versions 7.20.1 and later are patched.
Upgrade the WP Ultimate CSV Importer plugin to version 7.20.1 or later. Consider temporary mitigation steps like restricting file permissions if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.