CVE-2024-12571

O plugin “Store Locator for WordPress with Google Maps – LotsOfLocales” para WordPress, versão 3.98.9

A vulnerabilidade consiste em uma falha de inclusão de arquivo local que permite que invasores não autenticados incluam e executem arquivos arbitrários no servidor por meio do parâmetro sl engine. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para a versão 3.98.9, considere desativar o parâmetro sl engine até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de inclusão de arquivos arbitrários. Evite usar o parâmetro sl engine em pontos de extremidade da API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.