CVE-2026-5226WordPress Optimole插件在4.2.3及之前版本中存在反射型跨站脚本(XSS)漏洞。该漏洞源于`get_current_url()`函数对用户提供的URL路径输出转义不足,且在`replace_content()`函数中通过`str_replace()`将其插入JavaScript代码时,未进行适当的JavaScript上下文转义。未经身份验证的攻击者可利用此漏洞诱导用户点击特制链接,从而在目标页面中注入并执行任意恶意Web脚本。
该漏洞的核心问题出现在WordPress Optimole插件的后台处理逻辑中。当插件处理请求时,`get_current_url()`函数会获取当前请求的URL路径,该路径包含用户可控的输入。随后,`replace_content()`函数使用PHP的`str_replace()`方法将这些未经过滤的URL路径直接拼接到JavaScript代码上下文中。由于缺乏针对JavaScript环境的特定转义机制(如`json_encode`或特定的JS转义函数),攻击者可以在URL中注入恶意的JavaScript字符(如`<script>`标签或`onerror`事件处理器)。当受害者访问被构造的恶意链接时,服务器会将包含恶意代码的页面反射回浏览器,浏览器解析并执行该脚本。这种反射型XSS允许攻击者在受害者浏览器上下文中执行任意代码,从而窃取Cookie、会话令牌或执行其他恶意操作。