Plataforma
wordpress
Componente
wp-ultimate-csv-importer
Corrigido em
7.20.1
7.20.1
O plugin WP Ultimate CSV Importer para WordPress apresenta uma vulnerabilidade de acesso arbitrário de arquivos. Essa falha, presente nas versões de 0.0.0 até 7.19 (e reintroduzida na 7.20), permite que atacantes autenticados com acesso de Subscriber ou superior deletem arquivos no servidor. A deleção de arquivos críticos, como o wp-config.php, pode levar à execução remota de código. A versão 7.20.1 corrige essa vulnerabilidade.
A vulnerabilidade de acesso arbitrário de arquivos no WP Ultimate CSV Importer permite que um atacante autenticado, com privilégios mínimos de Subscriber, delete arquivos no servidor WordPress. A exploração bem-sucedida pode resultar na exclusão de arquivos de configuração, como o wp-config.php, que contém informações sensíveis de conexão com o banco de dados. A deleção deste arquivo, ou de outros arquivos essenciais, pode interromper o funcionamento do site e, em casos mais graves, permitir a execução de código malicioso no servidor, comprometendo a integridade e confidencialidade dos dados. A reintrodução da vulnerabilidade na versão 7.20 demonstra a dificuldade em corrigir completamente esse tipo de falha, reforçando a importância de aplicar as atualizações de segurança imediatamente.
A vulnerabilidade foi divulgada em 01 de abril de 2025. Não há informações disponíveis sobre a inclusão em KEV (CISA KEV catalog) ou sobre a pontuação EPSS. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade (acesso arbitrário de arquivos) a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.
• wordpress / composer / npm:
grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-ultimate-csv-importer'• wordpress / composer / npm:
wp plugin update wp-ultimate-csv-importer --alldisclosure
Status do Exploit
EPSS
5.63% (percentil 90%)
CISA SSVC
Vetor CVSS
A correção definitiva para a vulnerabilidade CVE-2025-2007 é a atualização para a versão 7.20.1 do plugin WP Ultimate CSV Importer. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin. Como medida paliativa, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar ou manipular arquivos sensíveis. Monitore os logs do servidor WordPress em busca de tentativas de acesso ou exclusão de arquivos suspeitos. Verifique se as permissões de arquivos e diretórios estão configuradas corretamente, restringindo o acesso apenas aos usuários e grupos necessários.
Actualice el plugin WP Ultimate CSV Importer a la versión 7.20.1 o superior para solucionar la vulnerabilidad de eliminación arbitraria de archivos. Esta actualización corrige la falta de validación adecuada de las rutas de los archivos, previniendo que atacantes con privilegios de suscriptor o superiores puedan eliminar archivos sensibles en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-2007 is a vulnerability in the WP Ultimate CSV Importer plugin for WordPress that allows authenticated users to delete arbitrary files, potentially leading to remote code execution.
You are affected if you are using the WP Ultimate CSV Importer plugin in versions 0.0.0 through 7.20. Versions 7.20.1 and later are patched.
Upgrade the WP Ultimate CSV Importer plugin to version 7.20.1 or later. Consider temporary mitigation steps like restricting file permissions if immediate upgrade is not possible.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a potential target.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.