Omar Elshopky

**Nome do Software Vulnerável e Versões Afetadas** LWS Optimize – All-in-One Speed Booster & Cache Tools versões anteriores a 3.3.20 **Description** O plugin está sujeito a um problema de leitura arbitrária de arquivos. Isso ocorre porque a função `combine current css()` confia em valores coletados do HTML da página e converte URLs do mesmo site em caminhos absolutos do sistema de arquivos antes de lê-los usando `file get contents()` ou `MinifyCSS::add()`. O processo não garante que o caminho resolvido permaneça dentro do `ABSPATH` ou possua a extensão `.css`. Consequentemente, atacantes autenticados com nível de acesso de Editor ou superior podem ler arquivos arbitrários no sistema. **Recommendations** Atualize para uma versão posterior a 3.3.19. Como medida paliativa temporária, restrinja o acesso à função `combine current css()` para usuários com permissões de Editor até que a atualização seja aplicada.