CVE-2026-4335 in Image Optimizer Plugininformação

Sumário

de VulDB • 02/06/2026

O plugin ShortPixel Image Optimizer para WordPress é vulnerável a Stored Cross-Site Scripting (XSS) via o campo post_title do anexo em todas as versões até, e incluindo, a 6.4.3. Isso ocorre devido à falta de escape adequado na saída da função getEditorPopup() e do seu modelo media-popup.php correspondente. Especificamente, o post_title do anexo é recuperado do banco de dados via get_post() em AjaxController.php (linha 435) e passado diretamente para o modelo de visualização (linha 449), onde é renderizado no atributo value de um elemento HTML input sem o uso de escape via esc_attr() (media-popup.php linha 139). Como o WordPress permite que Autores definam títulos de anexo arbitrários (incluindo caracteres de aspas duplas) via REST API, um autor malicioso pode criar um título de anexo que escape do atributo HTML e injete manipuladores de eventos JavaScript arbitrários. Isso permite que atacantes autenticados, com acesso de nível Autor ou superior, injetem scripts web arbitrários que são executados sempre que um usuário com privilégios mais elevados (como um administrador) abre o popup do editor ShortPixel AI (Background Removal ou Image Upscale) para o anexo contaminado.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

17/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353524

CPE

pronto

EPSS

0.00049

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4335
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4335
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4335/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!