Import Export Suite for CSV and XML Datafeed <= 7.19 - 认证 (订阅者+) 任意文件删除

攻击者可以利用此漏洞删除服务器上的任意文件，例如 wp-config.php。成功删除 wp-config.php 文件将导致网站无法访问，并可能允许攻击者完全控制服务器。由于该插件广泛使用，且许多网站使用订阅者级别的用户进行数据导入，因此潜在影响非常大。攻击者可以利用此漏洞获取敏感信息，篡改网站内容，甚至执行恶意代码，从而对网站和用户造成严重损害。此漏洞的严重性与删除关键配置文件后可能导致的远程代码执行风险相当。

WordPress websites using the WP Ultimate CSV Importer plugin, particularly those with Subscriber-level users who have access to import and export functionality, are at risk. Shared hosting environments where file permissions are less tightly controlled are also more vulnerable.

• wordpress / composer / npm:

grep -r 'deleteImage(' /var/www/html/wp-content/plugins/wp-ultimate-csv-importer/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'wp-ultimate-csv-importer'

• wordpress / composer / npm:

wp plugin update wp-ultimate-csv-importer --all

1. 2025-04-01Disclosure

   disclosure

1. 已保留2025-03-05
2. 发布日期2025-04-01
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 WP Ultimate CSV Importer 插件升级至 7.20.1 版本。如果无法立即升级，可以考虑暂时禁用插件，以防止未经授权的文件删除。此外，可以实施更严格的文件权限控制，限制订阅者级别的用户对服务器文件的访问。使用 Web 应用防火墙 (WAF) 规则来阻止可疑的文件删除请求，并定期审查服务器日志，以检测任何异常活动。建议使用 Sigma 或 YARA 规则来检测潜在的攻击行为。

活跃安装数

20K热门

插件评分

4.4

需要WordPress版本

5.0+

兼容至

7.0

需要PHP版本

7.4+