Katalog CVE

CVE-2026-12089

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Wtyczka LWS Optimize – All-in-One Speed Booster & Cache Tools dla WordPressa jest podatna na nieautoryzowane odczyty plików w wersjach do 3.3.19 włącznie. Problem wynika z funkcji combine_current_css(), która nieprawidłowo przetwarza wartości <link rel="stylesheet" href="...">, co pozwala na odczyt dowolnych plików.

Ocena ryzyka

Atakujący z dostępem na poziomie Edytora lub wyższym mogą uzyskać dostęp do poufnych plików na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz przegląd uprawnień użytkowników w celu ograniczenia dostępu do krytycznych funkcji.

Oryginalny opis (angielski, źródło NVD)

The LWS Optimize – All-in-One Speed Booster & Cache Tools plugin for WordPress is vulnerable to Arbitrary File Read in versions up to, and including, 3.3.19. This is due to the combine_current_css() function trusting <link rel="stylesheet" href="..."> values harvested from page HTML and converting same-site URLs to absolute filesystem paths before reading them with file_get_contents()/Minify\CSS::add(), without enforcing that the resolved path stay within ABSPATH or have a .css extension. This makes it possible for authenticated attackers, with Editor-level access and above, to read arbitrary files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS