CVE-2025-2636

Nome do Software Vulnerável e Versões Afetadas: InstaWP Connect – plugin de Staging e Migração WP de 1 clique para WordPress, versões até e incluindo a 0.1.0.85

Descrição: O plugin InstaWP Connect é vulnerável a Inclusão de Arquivo Local por meio do parâmetro instawp-database-manager. Isso permite que atacantes não autenticados incluam e executem arquivos arbitrários no servidor, habilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser utilizado para contornar controles de acesso, obter dados sensíveis ou lograr execução de código nos casos em que imagens e outros tipos de arquivos "seguros" possam ser enviados e incluídos.

Recomendações: Para versões até e incluindo a 0.1.0.85, atualize para a versão 0.1.0.86 ou posterior para garantir a segurança do site. Como solução temporária, considere restringir o acesso ao parâmetro instawp-database-manager para minimizar o risco de exploração.