Plataforma
wordpress
Componente
optimole-wp
Corrigido em
4.2.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin Optimole para WordPress, afetando versões de 0.0.0 até 4.2.2. Esta falha permite que atacantes injetem scripts maliciosos no site, potencialmente comprometendo a segurança dos usuários. A vulnerabilidade reside na falta de sanitização adequada do parâmetro 's' (srcset descriptor) no endpoint /wp-json/optimole/v1/optimizations. A correção foi lançada na versão 4.2.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute scripts maliciosos no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site e, em casos mais graves, acesso não autorizado a dados sensíveis armazenados no banco de dados do WordPress. A ausência de validação adequada do parâmetro 's' expõe o site a ataques XSS persistentes, onde o script malicioso é armazenado no servidor e executado sempre que um usuário acessa a página afetada. A exposição das chaves HMAC e timestamp no HTML agrava o risco, facilitando a exploração.
A vulnerabilidade foi divulgada em 2026-04-11. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um endpoint REST API com validação HMAC comprometida, mas com exposição de chaves no frontend, é um padrão de vulnerabilidade comum que pode ser explorado por atacantes.
Websites utilizing the Optimole plugin, particularly those running older versions (0.0.0–4.2.2), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with less stringent security practices or those that haven't implemented regular security updates are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'srcset descriptor' /var/www/html/wp-content/plugins/optimole/includes/rest-api/• wordpress / composer / npm:
wp plugin list --status=active | grep optimole• wordpress / composer / npm:
curl -I 'https://your-wordpress-site.com/wp-json/optimole/v1/optimizations?s=alert("XSS")'• generic web:
Inspect the HTML source code of pages using the Optimole plugin for suspicious JavaScript code injected via the 's' parameter in the /wp-json/optimole/v1/optimizations endpoint.
disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata do plugin Optimole para a versão 4.2.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o endpoint /wp-json/optimole/v1/optimizations. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações com payloads XSS conhecidos pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de atividades suspeitas, como solicitações POST incomuns para o endpoint vulnerável.
Atualize para a versão 4.2.3, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5217 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Optimole WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using Optimole versions 0.0.0 through 4.2.2. Upgrade to 4.2.3 or later to resolve the vulnerability.
Upgrade the Optimole plugin to version 4.2.3 or later. Consider implementing a WAF rule to block suspicious requests as an interim measure.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests a high likelihood of exploitation.
Refer to the Optimole website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.