Platform
wordpress
Component
wp-ultimate-csv-importer
Opgelost in
7.20.1
7.20.1
CVE-2025-2007 beschrijft een kwetsbaarheid van het type Arbitrary File Access in de plugin ‘WP Ultimate CSV Importer – Import CSV, XML & Excel into WordPress’. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te verwijderen, wat kan leiden tot ernstige gevolgen, zoals remote code execution. De kwetsbaarheid treft versies van 0.0.0 tot en met 7.19, en werd opnieuw geïntroduceerd in 7.20, maar is inmiddels opgelost in versie 7.20.1.
Een succesvolle exploitatie van CVE-2025-2007 kan leiden tot het verwijderen van cruciale systeembestanden, zoals wp-config.php. Dit kan resulteren in een volledige compromittering van de WordPress-installatie, waardoor de aanvaller controle kan krijgen over de server. Het potentieel voor remote code execution (RCE) is significant, omdat het verwijderen van specifieke bestanden de aanvaller in staat stelt om kwaadaardige code uit te voeren. De impact is vooral groot voor websites die gevoelige informatie opslaan of verwerken, aangezien deze informatie dan in verkeerde handen kan vallen.
Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar de mogelijkheid tot remote code execution maakt het een aantrekkelijk doelwit. Er zijn publieke proof-of-concept (POC) exploits beschikbaar, wat de kans op misbruik vergroot. De kwetsbaarheid is openbaar gemaakt op 2025-04-01 en is opgenomen in de NVD-database. De EPSS score is nog niet bekend, maar gezien de mogelijkheid tot RCE wordt een medium tot hoge waarschijnlijkheid van exploitatie verwacht.
WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-ultimate-csv-importer'• wordpress / composer / npm:
wp plugin update wp-ultimate-csv-importer --alldisclosure
Exploit Status
EPSS
5.63% (90% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-2007 is het onmiddellijk upgraden van de ‘WP Ultimate CSV Importer’ plugin naar versie 7.20.1 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie (indien beschikbaar) en implementeer tijdelijke maatregelen. Configureer uw web application firewall (WAF) of proxy om verdachte verzoeken naar de deleteImage() functie te blokkeren. Controleer de toegangsrechten van de plugin en beperk deze tot het minimum noodzakelijke. Zoek naar ongebruikelijke bestandswijzigingen in de WordPress-installatie.
Actualice el plugin WP Ultimate CSV Importer a la versión 7.20.1 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor o superiores puedan eliminar archivos sensibles en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-2007 is a vulnerability in the WP Ultimate CSV Importer plugin for WordPress that allows authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using the WP Ultimate CSV Importer plugin in versions 0.0.0 through 7.20. Versions 7.20.1 and later are patched.
Upgrade the WP Ultimate CSV Importer plugin to version 7.20.1 or later. Consider temporary mitigation steps like restricting file permissions if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.