| Summary | The ShortPixel Image Optimizer plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the attachment post_title in all versions up to, and including, 6.4.3. This is due to insufficient output escaping in the getEditorPopup() function and its corresponding media-popup.php template. Specifically, the attachment's post_title is retrieved from the database via get_post() in AjaxController.php (line 435) and passed directly to the view template (line 449), where it is rendered into an HTML input element's value attribute without esc_attr() escaping (media-popup.php line 139). Since WordPress allows Authors to set arbitrary attachment titles (including double-quote characters) via the REST API, a malicious author can craft an attachment title that breaks out of the HTML attribute and injects arbitrary JavaScript event handlers. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts that execute whenever a higher-privileged user (such as an administrator) opens the ShortPixel AI editor popup (Background Removal or Image Upscale) for the poisoned attachment. |
|---|---|
| Summary | El plugin ShortPixel Image Optimizer para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del post_title del adjunto en todas las versiones hasta la 6.4.3, inclusive. Esto se debe a un escape de salida insuficiente en la función getEditorPopup() y su plantilla media-popup.php correspondiente. Específicamente, el post_title del adjunto se recupera de la base de datos a través de get_post() en AjaxController.php (línea 435) y se pasa directamente a la plantilla de vista (línea 449), donde se renderiza en el atributo 'value' de un elemento de entrada HTML sin el escape esc_attr() (media-popup.php línea 139). Dado que WordPress permite a los autores establecer títulos de adjuntos arbitrarios (incluyendo caracteres de comillas dobles) a través de la API REST, un autor malicioso puede crear un título de adjunto que se escapa del atributo HTML e inyecta controladores de eventos JavaScript arbitrarios. Esto hace posible que atacantes autenticados, con acceso de nivel de Autor o superior, inyecten scripts web arbitrarios que se ejecutan cada vez que un usuario con mayores privilegios (como un administrador) abre la ventana emergente del editor de IA de ShortPixel (Eliminación de Fondo o Escalado de Imagen) para el adjunto envenenado. |
| Publication Date | March 26, 2026, 1:17 p.m. |
| Registration Date | April 27, 2026, 12:20 p.m. |
| Last Update | April 25, 2026, 1:35 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 5.4 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |