PT-2026-39944 · WordPress · Bj-Lazy-Load
Publicado
2026-05-12
·
Atualizado
2026-05-12
·
CVE-2026-2300
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
BJ Lazy Load versões anteriores a 1.1.0
Descrição
O plugin BJ Lazy Load para WordPress contém um problema de Cross-Site Scripting Armazenado na função
filter images(). A falha decorre do uso de preg replace para processamento de HTML baseado em regex, que não lida adequadamente com os limites de atributos HTML ao substituir atributos src. Isso permite que conteúdo manipulado dentro de um atributo class seja promovido a atributos DOM reais após o processamento. Consequentemente, invasores autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página afetada.Recomendações
Atualize o plugin para uma versão posterior a 1.0.9.
Como medida paliativa temporária, restrinja o uso da função
filter images() para minimizar o risco de exploração.Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bj-Lazy-Load