PT-2026-39944 · WordPress · Bj-Lazy-Load

Publicado

2026-05-12

·

Atualizado

2026-05-12

·

CVE-2026-2300

CVSS v3.1

6.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas BJ Lazy Load versões anteriores a 1.1.0
Descrição O plugin BJ Lazy Load para WordPress contém um problema de Cross-Site Scripting Armazenado na função filter images(). A falha decorre do uso de preg replace para processamento de HTML baseado em regex, que não lida adequadamente com os limites de atributos HTML ao substituir atributos src. Isso permite que conteúdo manipulado dentro de um atributo class seja promovido a atributos DOM reais após o processamento. Consequentemente, invasores autenticados com nível de acesso de Colaborador ou superior podem injetar scripts web arbitrários em páginas, que serão executados quando um usuário acessar a página afetada.
Recomendações Atualize o plugin para uma versão posterior a 1.0.9. Como medida paliativa temporária, restrinja o uso da função filter images() para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-2300

Produtos afetados

Bj-Lazy-Load