O tema Campress para WordPress apresenta uma vulnerabilidade crítica do tipo Inclusão Local de Arquivos (Local File Inclusion – LFI) em todas as versões até 1.35. A falha ocorre na função campress_woocommerce_get_ajax_products, permitindo que ataques não autenticados incluam e executem arquivos arbitrários no servidor.
Essa vulnerabilidade, classificada com uma pontuação CVSS 9.8 (Crítica), pode ser explorada para:
- Executar código PHP malicioso.
- Contornar controles de acesso.
- Acessar dados sensíveis do servidor.
A exploração é particularmente perigosa em cenários onde arquivos PHP podem ser carregados e incluídos no sistema.
Detalhes Técnicos:
- CVE-ID: CVE-2024-10763
- Publicação: 12 de fevereiro de 2025
- Pesquisador: István Márton (Wordfence)
Recomendação:
Se você utiliza o tema Campress, é essencial atualizar imediatamente para uma versão corrigida assim que disponível. Enquanto isso, considere desativar o tema ou implementar medidas de segurança adicionais para mitigar riscos.
Mantenha sempre seus temas e plugins atualizados para evitar exposição a vulnerabilidades conhecidas.
