CVE-2019-25217

Plugin SiteGround Optimizer para versões do WordPress até 5.0.12

Caldera Forms em versões anteriores à última atualização

A vulnerabilidade está relacionada à contornamento de autorização, levando à execução remota de código e à inclusão de arquivos locais. Isso se deve ao uso incorreto de um atributo de controle de acesso na função switch php, chamada por meio da rota da API REST “/switch-php”. Os invasores podem incluir e executar arquivos arbitrários no servidor, permitindo a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou conseguir a execução de código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para o plugin SiteGround Optimizer para WordPress até a versão 5.0.12: atualize para a versão mais recente imediatamente para mitigar os riscos.

Para versões do Caldera Forms anteriores à atualização mais recente: atualize para a versão mais recente imediatamente para mitigar os riscos.

Como solução temporária, considere desativar a função switch php até que um patch esteja disponível.

Restrinja o acesso ao endpoint da API vulnerável “/switch-php” para minimizar o risco de exploração.