CVE-2026-2300 in BJ Lazy Load Plugininformación

Resumen

por VulDB • 2026-05-12

El plugin BJ Lazy Load para WordPress es vulnerable a Stored Cross-Site Scripting (XSS almacenado) a través de la función `filter_images()` en todas las versiones hasta la 1.0.9, incluida. Esto se debe al uso de procesamiento de HTML basado en expresiones regulares (`preg_replace`) que no gestiona correctamente los límites de los atributos HTML al reemplazar los atributos `src`, lo que permite que el contenido manipulado dentro de un valor de atributo `class` se promueva a atributos DOM reales después del procesamiento. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-10

Divulgación

2026-05-12

Moderación

aceptado

Artículo

VDB-362946

CPE

listo

EPSS

0.00036

KEV

no

Actividades

bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2300
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2300
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2300/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!