Plataforma
wordpress
Componente
optimole-wp
Corregido en
4.2.3
El plugin Optimole – Optimize Images para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado en versiones hasta la 4.2.2. Esta vulnerabilidad se debe a una sanitización y escape insuficientes de las entradas en el parámetro 's' (descriptor srcset) del endpoint REST /wp-json/optimole/v1/optimizations. La actualización a la versión 4.2.3 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web que utilizan el plugin Optimole. Estos scripts pueden robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar otras acciones en nombre del usuario. La falta de validación adecuada del parámetro 's' permite a un atacante crear una URL maliciosa que, al ser accedida, ejecuta el script inyectado. Dado que el endpoint utiliza HMAC y timestamp, pero estos valores son visibles en el frontend, la explotación es relativamente sencilla.
Esta vulnerabilidad fue publicada el 2026-04-11. No se ha reportado explotación activa a la fecha. No se encuentra en el KEV de CISA. La vulnerabilidad es de fácil explotación debido a la exposición de los valores HMAC y timestamp.
Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/• wordpress / composer / npm:
wp plugin list --status=active | grep optimole• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'• generic web:
Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Optimole a la versión 4.2.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes al endpoint /wp-json/optimole/v1/optimizations que contengan caracteres sospechosos en el parámetro 's'. Revise los logs del servidor en busca de patrones de solicitudes inusuales que puedan indicar un intento de explotación.
Actualizar a la versión 4.2.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5217 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Optimole WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Optimole versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to resolve the vulnerability.
Upgrade the Optimole plugin to version 4.2.3 or later. Consider implementing a WAF rule to block suspicious requests as an interim measure.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high likelihood of exploitation.
Refer to the Optimole website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.