Плагин Autoptimize для WordPress уязвим к хранимым межсайтовым сценариям через метазначение «ao_post_preload» во всех версиях до 3.1.14 включительно. Это связано с недостаточной очисткой ввода в функции `ao_metabox_save()` и отсутствием экранирования вывода, когда значение отображается в тег `<link>` в `autoptimizeImages.php`. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице, при условии, что в конфигурации плагина включен параметр «Оптимизация изображения» или «Отложенная загрузка изображений».
Показать оригинальное описание (EN)
The Autoptimize plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'ao_post_preload' meta value in all versions up to, and including, 3.1.14. This is due to insufficient input sanitization in the `ao_metabox_save()` function and missing output escaping when the value is rendered into a `<link>` tag in `autoptimizeImages.php`. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page, granted the "Image optimization" or "Lazy-load images" setting is enabled in the plugin configuration.
Характеристики атаки
Последствия
Строка CVSS v3.1