Alert!

Potenziell sind 20.000 WordPress-Websites mit dem Plug-in WP Ultimate CSV Importer angreifbar. Ein Sicherheitspatch steht zum Download.

Laptop zeigt Wordpress-Logo, Viren fliegen herum (Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Anzeige

Nutzen Angreifer erfolgreich Sicherheitslücken im WordPress-Plug-in WP Ultimate CSV Importer aus, können sie die volle Kontrolle über Websites erlangen. Mittlerweile haben die Entwickler reagiert und eine gegen mögliche Attacken gerüstete Version veröffentlicht.

In einem Bericht warnen Sicherheitsforscher von Wordfence vor zwei Schwachstellen (CVE-2025-2007 "hoch", CVE-2025-2008 "hoch"). In beiden Fällen können entfernte Angreifer aufgrund unzureichender Überprüfungen Schadcode auf Websites laden und ausführen. Dafür müssen sie aber bereits authentifiziert sein (Subscriber-Level).

Website-Admins sollten sicherstellen, dass die gegen die geschilderte Attacke gerüstete Version 7.19.1 installiert ist. Bislang gibt es keine Hinweise auf Attacken.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Beitrag kommentieren Zur Startseite

Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Original Link
(Ursprünglich geschrieben von Heise)