प्लेटफ़ॉर्म
wordpress
घटक
optimole-wp
में ठीक किया गया
4.2.3
ऑप्टिमोल – ऑप्टिमाइज़ इमेजेज़ वर्डप्रेस प्लगइन में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। इस भेद्यता के कारण, हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकता है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है या वेबसाइट का नियंत्रण हमलावर के हाथ में आ सकता है। यह भेद्यता प्लगइन के संस्करण 0.0.0 से 4.2.2 तक के संस्करणों को प्रभावित करती है। प्लगइन के संस्करण 4.2.3 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को वेबसाइट पर अनधिकृत स्क्रिप्ट चलाने की अनुमति देती है। हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण कोड इंजेक्ट कर सकते हैं, जो कुकीज़, सत्र टोकन और अन्य संवेदनशील जानकारी चुरा सकता है। इसके अतिरिक्त, हमलावर उपयोगकर्ता को फ़िशिंग वेबसाइट पर रीडायरेक्ट कर सकता है या वेबसाइट की सामग्री को बदल सकता है। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने या उपयोगकर्ताओं को धोखा देने के लिए भी किया जा सकता है। चूंकि प्लगइन का REST API अनधिकृत है और HMAC हस्ताक्षर और टाइमस्टैम्प फ्रंटएंड HTML में उजागर होते हैं, इसलिए हमलावर आसानी से स्क्रिप्ट इंजेक्ट कर सकते हैं।
इस भेद्यता के बारे में जानकारी सार्वजनिक रूप से 2026-04-11 को जारी की गई थी। अभी तक इस भेद्यता के सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं मिले हैं, लेकिन XSS भेद्यताएँ अक्सर लक्षित हमलों में उपयोग की जाती हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक उपलब्ध नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे।
Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/• wordpress / composer / npm:
wp plugin list --status=active | grep optimole• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'• generic web:
Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, प्लगइन को तुरंत संस्करण 4.2.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को ब्लॉक कर सके। इसके अतिरिक्त, सुनिश्चित करें कि सभी इनपुट को ठीक से सैनिटाइज़ और आउटपुट को एस्केप किया गया है। प्लगइन के REST API को एक्सेस करने वाले सभी अनुरोधों को सख्त रूप से नियंत्रित करें और केवल अधिकृत उपयोगकर्ताओं को ही एक्सेस प्रदान करें। प्लगइन के कॉन्फ़िगरेशन में अतिरिक्त सुरक्षा उपाय लागू करें। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के REST API को मैन्युअल रूप से जांचें।
संस्करण 4.2.3 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5217 ऑप्टिमोल प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप ऑप्टिमोल प्लगइन के संस्करण 0.0.0 से 4.2.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को संस्करण 4.2.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करें और इनपुट सैनिटाइजेशन को मजबूत करें।
अभी तक सक्रिय शोषण के कोई विश्वसनीय प्रमाण नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही शोषण हो सकते हैं।
कृपया ऑप्टिमोल की वेबसाइट पर जाएं या उनके समर्थन से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।