CVE-2026-11784
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Wtyczka Optimole do WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 4.2.6. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji replace_file, co pozwala na nadpisanie istniejących załączników medialnych przez nieautoryzowanych atakujących.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do nadpisania plików na serwerze, co może prowadzić do utraty danych lub wprowadzenia złośliwego oprogramowania. Ryzyko wzrasta, gdy administratorzy są oszukiwani do wykonania akcji, które umożliwiają atak.
Rekomendacja
Zaleca się aktualizację wtyczki Optimole do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki bezpieczeństwa, aby zminimalizować ryzyko oszustwa użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Optimole – Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 4.2.6. This is due to missing or incorrect nonce validation on the replace_file function. This makes it possible for unauthenticated attackers to overwrite existing media attachments with attacker-supplied file content by supplying a forged multipart POST request targeting any attachment the victim has edit_post capability over via a forged request granted they can trick a site administrator into performing an action such as clicking on a link. The forged request requires a victim with at least Author-level privileges, as the handler enforces a current_user_can('edit_post', $id) check; tricking an Author-level or higher user into clicking a crafted link is sufficient to trigger the overwrite against attachments that user can edit.

