Optimole <= 4.2.2 - Ongemachtigde Stored Cross-Site Scripting via Srcset Descriptor Parameter

Deze XSS kwetsbaarheid in Optimole maakt het mogelijk voor een aanvaller om willekeurige JavaScript code uit te voeren in de context van een geauthenticeerde gebruiker. Dit kan leiden tot accountovername, het stelen van gevoelige informatie (zoals cookies en sessie-ID's), het wijzigen van website-inhoud en het doorvoeren van kwaadaardige redirects. De kwetsbaarheid is te wijten aan onvoldoende sanitatie en output escaping van de 's' parameter in de /wp-json/optimole/v1/optimizations REST endpoint. Omdat de HMAC signature en timestamp in de frontend HTML staan, zijn deze gemakkelijk te misbruiken. Een succesvolle exploitatie kan leiden tot een ernstige inbreuk op de beveiliging van de WordPress website.

Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.

• wordpress / composer / npm:

grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/

• wordpress / composer / npm:

wp plugin list --status=active | grep optimole

• wordpress / composer / npm:

curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'

• generic web: Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.

1. 2026-04-11Disclosure

   disclosure

1. Gereserveerd2026-03-31
2. Gepubliceerd2026-04-11
3. Gewijzigd2026-04-13
4. EPSS bijgewerkt2026-04-18

De primaire mitigatie voor CVE-2026-5217 is het updaten van de Optimole WordPress plugin naar versie 4.2.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /wp-json/optimole/v1/optimizations endpoint te beschermen tegen kwaadaardige verzoeken. Configureer de WAF om verzoeken met onjuiste of gemanipuleerde 's' parameters te blokkeren. Daarnaast kan het beperken van de toegang tot de REST API endpoint via .htaccess of andere WordPress beveiligingsmaatregelen helpen. Na de upgrade, controleer de website op verdachte activiteiten en bekijk de logs op ongebruikelijke verzoeken.

Actieve installaties

200KBekend

Plugin-beoordeling