Scanner gratuitement
HIGHCVE-2026-5217CVSS 7.2

Optimole <= 4.2.2 - Cross-Site Scripting Stocké Non Authentifié via le Paramètre Descripteur Srcset

Plateforme

wordpress

Composant

optimole-wp

Corrigé dans

4.2.3

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Le plugin WordPress Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization est vulnérable à une attaque de Cross-Site Scripting (XSS) stockée. Cette vulnérabilité affecte toutes les versions jusqu'à et y compris la 4.2.2. Elle est due à une validation insuffisante des entrées et à un échappement incorrect des sorties sur le paramètre 's' (srcset descriptor) dans l'endpoint REST non authentifié /wp-json/optimole/v1/optimizations. Une correction a été publiée en version 4.2.3.

WordPress

Détecte cette CVE dans ton projet

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement

Impact et Scénarios d'Attaque

Un attaquant peut exploiter cette vulnérabilité XSS stockée pour injecter du code JavaScript malveillant dans le site WordPress. Ce code peut être exécuté dans le navigateur des utilisateurs visitant le site, leur permettant de voler des cookies, de rediriger les utilisateurs vers des sites malveillants, ou de modifier le contenu de la page. L'exposition des valeurs HMAC et timestamp dans le code HTML frontend facilite l'exploitation de cette vulnérabilité, car elles sont accessibles à tous les visiteurs du site. L'impact est aggravé par le fait que le plugin est utilisé pour l'optimisation d'images, ce qui signifie qu'il est susceptible d'être utilisé sur des sites avec un trafic important, augmentant ainsi le nombre d'utilisateurs potentiellement affectés.

Contexte d'Exploitation

Cette vulnérabilité a été publiée le 2026-04-11. Il n'y a pas d'indication d'exploitation active à ce jour. La vulnérabilité est considérée comme de haute probabilité d'exploitation (KEV score en attente). Des preuves de concept (PoC) publiques pourraient être disponibles prochainement, ce qui pourrait augmenter le risque d'exploitation.

Qui Est à Risquetraduction en cours…

Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.

Étapes de Détectiontraduction en cours…

• wordpress / composer / npm:

grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/

• wordpress / composer / npm:

wp plugin list --status=active | grep optimole

• wordpress / composer / npm:

curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'

• generic web: Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.10% (percentile 28%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantoptimole-wp
Fournisseurwordfence
Plage affectéeCorrigé dans
0 – 4.2.24.2.3

Informations sur le paquet

Installations actives
200KConnu
Note du plugin
4.7
Nécessite WordPress
5.5+
Compatible jusqu'à
7.0
Nécessite PHP
7.4+

Classification de Faiblesse (CWE)

CWE-79

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le plugin Optimole vers la version 4.2.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'endpoint REST /wp-json/optimole/v1/optimizations. En attendant la mise à jour, un Web Application Firewall (WAF) peut être configuré pour bloquer les requêtes suspectes ciblant cet endpoint. Vérifiez également les logs du serveur web pour détecter toute activité suspecte liée à l'injection de code JavaScript. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en effectuant une requête à l'endpoint REST et en vérifiant que les valeurs HMAC et timestamp ne sont plus exposées dans le code HTML.

Comment corriger

Mettre à jour vers la version 4.2.3, ou une version corrigée plus récente

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-5217 — XSS in Optimole WordPress Plugin?

CVE-2026-5217 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Optimole WordPress plugin, allowing attackers to inject malicious scripts.

Am I affected by CVE-2026-5217 in Optimole WordPress Plugin?

You are affected if you are using Optimole versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to resolve the vulnerability.

How do I fix CVE-2026-5217 in Optimole WordPress Plugin?

Upgrade the Optimole plugin to version 4.2.3 or later. Consider implementing a WAF rule to block suspicious requests as an interim measure.

Is CVE-2026-5217 being actively exploited?

While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high likelihood of exploitation.

Where can I find the official Optimole advisory for CVE-2026-5217?

Refer to the Optimole website and WordPress plugin repository for the official advisory and update information.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE