Nutzen Angreifer erfolgreich Sicherheitslücken im WordPress-Plug-in WP Ultimate CSV Importer aus, können sie die volle Kontrolle über Websites erlangen. Mittlerweile haben die Entwickler reagiert und eine gegen mögliche Attacken gerüstete Version veröffentlicht.
In einem Bericht warnen Sicherheitsforscher von Wordfence vor zwei Schwachstellen (CVE-2025-2007 "hoch", CVE-2025-2008 "hoch"). In beiden Fällen können entfernte Angreifer aufgrund unzureichender Überprüfungen Schadcode auf Websites laden und ausführen. Dafür müssen sie aber bereits authentifiziert sein (Subscriber-Level).
Website-Admins sollten sicherstellen, dass die gegen die geschilderte Attacke gerüstete Version 7.19.1 installiert ist. Bislang gibt es keine Hinweise auf Attacken.