The Autoptimize plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the lazy-loading image processing in all versions up to, and including, 3.1.14. This is due to the use of an overly permissive regular expression in the `add_lazyload` function that replaces all occurrences of `\ssrc=` in image tags without limiting to the actual attribute. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page by crafting an image tag where the `src` URL contains a space followed by `src=`, causing the regex to break the HTML structure and promote text inside attribute values into executable HTML attributes.
The Autoptimize WordPress plugin versions up to 3.1.14 contain a Stored Cross-Site Scripting vulnerability in lazy-loading image processing due to an overly permissive regex pattern. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
ثغرة Stored XSS في إضافة Autoptimize للـ WordPress تؤثر على جميع الإصدارات حتى 3.1.14 في وظيفة معالجة الصور البطيئة. يمكن للمهاجمين المصرحين على مستوى المساهم أو أعلى حقن برامج نصية ضارة عبر صور مصنوعة بحيث تحتوي على مسافة متبوعة بـ src= في عنوان URL. تنفذ البرامج النصية المحقونة عندما يزور المستخدمون الصفحات المتأثرة.
The Autoptimize WordPress plugin versions up to 3.1.14 contain a Stored Cross-Site Scripting vulnerability in lazy-loading image processing due to an overly permissive regex pattern. Authenticated attackers with Contributor-level access can inject malicious scripts that execute when users view affected pages.
Update Autoptimize plugin to version 3.1.15 or later immediately. Restrict Contributor-level access to trusted users only. Implement Web Application Firewall rules to detect and block XSS payloads in image src attributes. Review and audit all existing image content for injected scripts.
قم بتحديث إضافة Autoptimize إلى الإصدار 3.1.15 أو أحدث فوراً. قيد الوصول على مستوى المساهم للمستخدمين الموثوقين فقط. طبق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS وحجبها في سمات src للصور. راجع وتدقيق جميع محتوى الصور الموجود للبحث عن البرامج النصية المحقونة.