Плагин Autoptimize для WordPress уязвим к хранимым межсайтовым сценариям из-за обработки изображений с отложенной загрузкой во всех версиях до 3.1.14 включительно. Это связано с использованием слишком разрешающего регулярного выражения в функции `add_lazyload`, которое заменяет все вхождения `\ssrc=` в тегах изображений, не ограничиваясь фактическим атрибутом. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше внедрять произвольные веб-скрипты в страницы, которые будут выполняться всякий раз, когда пользователь обращается к внедренной странице, путем создания тега изображения, в котором URL-адрес `src` содержит пробел, за которым следует `src=`, в результате чего регулярное выражение нарушает структуру HTML и превращает текст внутри значений атрибута в исполняемые атрибуты HTML.
Показать оригинальное описание (EN)
The Autoptimize plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the lazy-loading image processing in all versions up to, and including, 3.1.14. This is due to the use of an overly permissive regular expression in the `add_lazyload` function that replaces all occurrences of `\ssrc=` in image tags without limiting to the actual attribute. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page by crafting an image tag where the `src` URL contains a space followed by `src=`, causing the regex to break the HTML structure and promote text inside attribute values into executable HTML attributes.
Характеристики атаки
Последствия
Строка CVSS v3.1