CVE-2026-6427 in a3 Lazy Load Plugininformación

Resumen

por VulDB • 2026-05-28

El plugin a3 Lazy Load para WordPress es vulnerable a Stored Cross-Site Scripting (XSS almacenado) en todas las versiones hasta la 2.7.6, incluida. Esto se debe a un error de expresión regular en el método _filter_videos() que rompe el citado de atributos HTML al procesar elementos manipulados, combinado con una salida sin escapar en la plantilla admin/views/form-data.php. Un atacante autenticado con acceso a nivel de Colaborador puede insertar una etiqueta manipulada cuyo atributo src contiene una subcadena incrustada class=" que engaña a la expresión regular de reemplazo de clases del plugin para consumir la comilla de cierre de un valor de atributo. Esto desplaza el límite de comillas del analizador HTML5, promoviendo el texto controlado por el atacante desde dentro de un valor de atributo entre comillas hacia atributos de manejador de eventos independientes (autofocus, onfocus). El script inyectado se ejecuta en el navegador de cualquier usuario (incluidos los administradores) que visualice la publicación.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-16

Divulgación

2026-05-28

Moderación

aceptado

Artículo

VDB-366587

CPE

listo

EPSS

0.00047

KEV

no

Actividades

bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6427
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6427
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6427/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!