Plataforma
wordpress
Componente
csv-to-sorttable
Corrigido em
4.2.1
A vulnerabilidade CVE-2025-13070 afeta o plugin CSV to SortTable para WordPress, nas versões de 0 a 4.2. Esta falha permite que usuários autenticados, como contribuidores, realizem ataques de Inclusão de Arquivos Local (LFI) devido à falta de validação de atributos de shortcode. A exploração bem-sucedida pode levar ao acesso não autorizado a arquivos confidenciais no servidor, comprometendo a integridade do site WordPress.
Um atacante com acesso autenticado ao site WordPress pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor. Isso pode incluir arquivos de configuração, código-fonte, ou outros dados sensíveis. A inclusão de arquivos locais permite que o atacante execute código malicioso, obtenha informações confidenciais ou comprometa a segurança do servidor. O impacto potencial é significativo, especialmente em ambientes de produção onde informações sensíveis são armazenadas. A ausência de validação adequada dos atributos de shortcode abre uma brecha de segurança que pode ser facilmente explorada.
A vulnerabilidade foi divulgada em 2025-12-09. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público no momento desta análise. A avaliação de probabilidade de exploração (EPSS) é considerada média, devido à facilidade de exploração para usuários autenticados e à ampla utilização do WordPress. A inclusão na KEV (CISA Known Exploited Vulnerabilities) é pendente.
Websites using the CSV to SortTable WordPress plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "include(..)" /var/www/html/wp-content/plugins/csv-to-sorttable/• wordpress / composer / npm:
wp plugin list --status=all | grep 'csv-to-sorttable'• wordpress / composer / npm:
wp plugin update csv-to-sorttable• generic web: Check WordPress plugin directory for updated versions and security advisories.
disclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
Vetor CVSS
A mitigação primária para CVE-2025-13070 é atualizar o plugin CSV to SortTable para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar firewalls de aplicação web (WAF) para bloquear tentativas de exploração. Além disso, revise as permissões de arquivos e diretórios no servidor para garantir que apenas usuários autorizados tenham acesso. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Após a atualização, confirme a correção executando testes de penetração para verificar se a vulnerabilidade foi efetivamente eliminada.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13070 is a high-severity vulnerability in the CSV to SortTable WordPress plugin allowing authenticated users to read arbitrary files via Local File Inclusion (LFI).
You are affected if you are using the CSV to SortTable WordPress plugin versions 0 through 4.2.
Upgrade the CSV to SortTable WordPress plugin to a patched version as soon as it becomes available. Monitor the plugin developer's website for updates.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation.
Check the plugin developer's website and the WordPress plugin directory for the official advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.