CVE-2026-12089

Nome do Software Vulnerável e Versões Afetadas LWS Optimize – All-in-One Speed Booster & Cache Tools versões anteriores a 3.3.20

Description O plugin está sujeito a um problema de leitura arbitrária de arquivos. Isso ocorre porque a função combine current css() confia em valores coletados do HTML da página e converte URLs do mesmo site em caminhos absolutos do sistema de arquivos antes de lê-los usando file get contents() ou MinifyCSS::add(). O processo não garante que o caminho resolvido permaneça dentro do ABSPATH ou possua a extensão .css. Consequentemente, atacantes autenticados com nível de acesso de Editor ou superior podem ler arquivos arbitrários no sistema.

Recommendations Atualize para uma versão posterior a 3.3.19. Como medida paliativa temporária, restrinja o acesso à função combine current css() para usuários com permissões de Editor até que a atualização seja aplicada.