Jay Nguyen

**Nome do software vulnerável e versões afetadas** O plugin “Store Locator for WordPress with Google Maps – LotsOfLocales” para WordPress, versão 3.98.9 **Descrição** A vulnerabilidade consiste em uma falha de inclusão de arquivo local que permite que invasores não autenticados incluam e executem arquivos arbitrários no servidor por meio do parâmetro `sl engine`. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos. **Recomendações** Para a versão 3.98.9, considere desativar o parâmetro `sl engine` até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de inclusão de arquivos arbitrários. Evite usar o parâmetro `sl engine` em pontos de extremidade da API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.