Plateforme
wordpress
Composant
optimole-wp
Corrigé dans
4.2.3
Le plugin WordPress Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization est vulnérable à une attaque de Cross-Site Scripting (XSS) stockée. Cette vulnérabilité affecte toutes les versions jusqu'à et y compris la 4.2.2. Elle est due à une validation insuffisante des entrées et à un échappement incorrect des sorties sur le paramètre 's' (srcset descriptor) dans l'endpoint REST non authentifié /wp-json/optimole/v1/optimizations. Une correction a été publiée en version 4.2.3.
Un attaquant peut exploiter cette vulnérabilité XSS stockée pour injecter du code JavaScript malveillant dans le site WordPress. Ce code peut être exécuté dans le navigateur des utilisateurs visitant le site, leur permettant de voler des cookies, de rediriger les utilisateurs vers des sites malveillants, ou de modifier le contenu de la page. L'exposition des valeurs HMAC et timestamp dans le code HTML frontend facilite l'exploitation de cette vulnérabilité, car elles sont accessibles à tous les visiteurs du site. L'impact est aggravé par le fait que le plugin est utilisé pour l'optimisation d'images, ce qui signifie qu'il est susceptible d'être utilisé sur des sites avec un trafic important, augmentant ainsi le nombre d'utilisateurs potentiellement affectés.
Cette vulnérabilité a été publiée le 2026-04-11. Il n'y a pas d'indication d'exploitation active à ce jour. La vulnérabilité est considérée comme de haute probabilité d'exploitation (KEV score en attente). Des preuves de concept (PoC) publiques pourraient être disponibles prochainement, ce qui pourrait augmenter le risque d'exploitation.
Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/• wordpress / composer / npm:
wp plugin list --status=active | grep optimole• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'• generic web:
Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Optimole vers la version 4.2.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'endpoint REST /wp-json/optimole/v1/optimizations. En attendant la mise à jour, un Web Application Firewall (WAF) peut être configuré pour bloquer les requêtes suspectes ciblant cet endpoint. Vérifiez également les logs du serveur web pour détecter toute activité suspecte liée à l'injection de code JavaScript. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en effectuant une requête à l'endpoint REST et en vérifiant que les valeurs HMAC et timestamp ne sont plus exposées dans le code HTML.
Mettre à jour vers la version 4.2.3, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5217 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Optimole WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Optimole versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to resolve the vulnerability.
Upgrade the Optimole plugin to version 4.2.3 or later. Consider implementing a WAF rule to block suspicious requests as an interim measure.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high likelihood of exploitation.
Refer to the Optimole website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.