The a3 Lazy Load plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 2.7.6 This is due to a regex bug in the _filter_videos() method that breaks HTML attribute quoting when processing crafted <video> elements, combined with unescaped output in the admin/views/form-data.php template. An authenticated attacker with Contributor-level access can insert a crafted <video> tag whose src attribute contains an embedded class=" substring that tricks the plugin's class-replacement regex into consuming an attribute-value closing quote. This shifts the HTML5 parser's quote boundary, promoting attacker-controlled text from inside a quoted attribute value into standalone event-handler attributes (autofocus, onfocus). The injected script executes in the browser of any user (including administrators) who views the post.
The a3 Lazy Load WordPress plugin versions up to 2.7.6 contain a stored XSS vulnerability in the _filter_videos() method due to improper regex handling of video elements. Authenticated attackers with Contributor access can inject malicious scripts that execute when administrators view affected posts.
تحتوي إضافة a3 Lazy Load على خلل في التعبير النمطي في دالة _filter_videos() يسمح بكسر علامات HTML عند معالجة عناصر الفيديو المصنعة. يمكن لمهاجم مصرح له بصلاحيات المساهم إدراج علامة فيديو تحتوي على سمات معالجات أحداث ضارة تنفذ عند عرض المنشور. ينتج عن هذا تنفيذ كود JavaScript عشوائي في متصفحات جميع المستخدمين بما فيهم المسؤولون.
The a3 Lazy Load WordPress plugin versions up to 2.7.6 contain a stored XSS vulnerability in the _filter_videos() method due to improper regex handling of video elements. Authenticated attackers with Contributor access can inject malicious scripts that execute when administrators view affected posts.
Update the a3 Lazy Load plugin to version 2.7.7 or later immediately. Restrict Contributor-level permissions to trusted users only. Implement Web Application Firewall rules to detect and block malicious video tag patterns. Review and audit all posts created by Contributor-level users for suspicious video elements.
قم بتحديث إضافة a3 Lazy Load إلى الإصدار 2.7.7 أو أحدث فوراً. قيد صلاحيات مستوى المساهم للمستخدمين الموثوقين فقط. طبق قواعد جدار حماية تطبيقات الويب للكشف عن أنماط علامات الفيديو الضارة. راجع وتدقيق جميع المنشورات التي أنشأها مستخدمو مستوى المساهم بحثاً عن عناصر فيديو مريبة.