Optimole <= 4.2.2 - Srcset記述子パラメータを介した認証されていないStored Cross-Site Scripting

このXSS脆弱性を悪用されると、攻撃者はユーザーがWordPressサイトを閲覧する際に悪意のあるJavaScriptコードを実行できます。これにより、攻撃者はユーザーのCookieを盗み、セッションを乗っ取ったり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、サイトのコンテンツを改ざんしたりする可能性があります。特に、認証されていない/wp-json/optimole/v1/optimizations RESTエンドポイントの脆弱性は、サイトの訪問者全員にとってリスクとなります。HMAC署名とタイムスタンプがフロントエンドHTMLに直接公開されていることが、この脆弱性を悪化させています。

Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.

• wordpress / composer / npm:

grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/

• wordpress / composer / npm:

wp plugin list --status=active | grep optimole

• wordpress / composer / npm:

curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'

• generic web: Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.

1. 2026-04-11Disclosure

   disclosure

1. 予約済み2026-03-31
2. 公開日2026-04-11
3. 更新日2026-04-13
4. EPSS 更新日2026-04-18

この脆弱性への最も効果的な対策は、Optimoleプラグインをバージョン4.2.3以降にアップデートすることです。アップデートが一時的に利用できない場合は、WAF（Web Application Firewall）を使用して、/wp-json/optimole/v1/optimizationsエンドポイントへの悪意のあるリクエストをブロックすることを検討してください。また、入力検証を強化し、出力エスケープを適切に行うことで、同様のXSS攻撃を防ぐことができます。アップデート後、プラグインの動作を注意深く監視し、異常なアクティビティがないか確認してください。

アクティブインストール数

200K既知

プラグイン評価