CVE-2026-2430 in Autoptimize Plugininformación

Resumen

por MITRE • 2026-03-21

El plugin Autoptimize para WordPress es vulnerable a cross-site scripting almacenado a través del procesamiento de imágenes de carga diferida en todas las versiones hasta la 3.1.14, inclusive. Esto se debe al uso de una expresión regular excesivamente permisiva en la función `add_lazyload` que reemplaza todas las ocurrencias de `\ssrc=` en las etiquetas de imagen sin limitarse al atributo real. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada al crear una etiqueta de imagen donde la URL `src` contiene un espacio seguido de `src=`, lo que hace que la expresión regular rompa la estructura HTML y promueva texto dentro de los valores de los atributos a atributos HTML ejecutables.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-12

Divulgación

2026-03-21

Moderación

aceptado

Artículo

VDB-352263

CPE

listo

EPSS

0.00048

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2430
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2430
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2430/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!