Gratis scannen
HIGHCVE-2026-5217CVSS 7.2

Optimole <= 4.2.2 - Ongemachtigde Stored Cross-Site Scripting via Srcset Descriptor Parameter

Platform

wordpress

Component

optimole-wp

Opgelost in

4.2.3

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-5217 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Optimole WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts in te voegen, wat kan leiden tot het overnemen van gebruikersaccounts en het compromitteren van de website. De kwetsbaarheid treft versies van de plugin van 0.0.0 tot en met 4.2.2. Een patch is beschikbaar in versie 4.2.3.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Deze XSS kwetsbaarheid in Optimole maakt het mogelijk voor een aanvaller om willekeurige JavaScript code uit te voeren in de context van een geauthenticeerde gebruiker. Dit kan leiden tot accountovername, het stelen van gevoelige informatie (zoals cookies en sessie-ID's), het wijzigen van website-inhoud en het doorvoeren van kwaadaardige redirects. De kwetsbaarheid is te wijten aan onvoldoende sanitatie en output escaping van de 's' parameter in de /wp-json/optimole/v1/optimizations REST endpoint. Omdat de HMAC signature en timestamp in de frontend HTML staan, zijn deze gemakkelijk te misbruiken. Een succesvolle exploitatie kan leiden tot een ernstige inbreuk op de beveiliging van de WordPress website.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Het is onwaarschijnlijk dat deze kwetsbaarheid momenteel actief wordt misbruikt in grootschalige campagnes, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit voor aanvallers. De publicatie datum van 2026-04-11 geeft aan dat de kwetsbaarheid recentelijk is ontdekt en openbaar gemaakt.

Wie Loopt Risicowordt vertaald…

Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.

Detectiestappenwordt vertaald…

• wordpress / composer / npm:

grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/

• wordpress / composer / npm:

wp plugin list --status=active | grep optimole

• wordpress / composer / npm:

curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'

• generic web: Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.10% (28% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentoptimole-wp
Leverancierwordfence
Getroffen bereikOpgelost in
0 – 4.2.24.2.3

Pakketinformatie

Actieve installaties
200KBekend
Plugin-beoordeling
4.7
Vereist WordPress
5.5+
Compatibel tot
7.0
Vereist PHP
7.4+

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De primaire mitigatie voor CVE-2026-5217 is het updaten van de Optimole WordPress plugin naar versie 4.2.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /wp-json/optimole/v1/optimizations endpoint te beschermen tegen kwaadaardige verzoeken. Configureer de WAF om verzoeken met onjuiste of gemanipuleerde 's' parameters te blokkeren. Daarnaast kan het beperken van de toegang tot de REST API endpoint via .htaccess of andere WordPress beveiligingsmaatregelen helpen. Na de upgrade, controleer de website op verdachte activiteiten en bekijk de logs op ongebruikelijke verzoeken.

Hoe te verhelpen

Update naar versie 4.2.3, of een nieuwere gepatchte versie

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-5217 — XSS in Optimole WordPress Plugin?

CVE-2026-5217 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Optimole WordPress plugin, allowing attackers to inject malicious scripts.

Am I affected by CVE-2026-5217 in Optimole WordPress Plugin?

You are affected if you are using Optimole versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to resolve the vulnerability.

How do I fix CVE-2026-5217 in Optimole WordPress Plugin?

Upgrade the Optimole plugin to version 4.2.3 or later. Consider implementing a WAF rule to block suspicious requests as an interim measure.

Is CVE-2026-5217 being actively exploited?

While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high likelihood of exploitation.

Where can I find the official Optimole advisory for CVE-2026-5217?

Refer to the Optimole website and WordPress plugin repository for the official advisory and update information.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken