Vulnerabilidad en plugin ShortPixel Image Optimizer para WordPress (CVE-2026-4335)

El plugin ShortPixel Image Optimizer para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del post_title del adjunto en todas las versiones hasta la 6.4.3, inclusive. Esto se debe a un escape de salida insuficiente en la función getEditorPopup() y su plantilla media-popup.php correspondiente. Específicamente, el post_title del adjunto se recupera de la base de datos a través de get_post() en AjaxController.php (línea 435) y se pasa directamente a la plantilla de vista (línea 449), donde se renderiza en el atributo 'value' de un elemento de entrada HTML sin el escape esc_attr() (media-popup.php línea 139). Dado que WordPress permite a los autores establecer títulos de adjuntos arbitrarios (incluyendo caracteres de comillas dobles) a través de la API REST, un autor malicioso puede crear un título de adjunto que se escapa del atributo HTML e inyecta controladores de eventos JavaScript arbitrarios. Esto hace posible que atacantes autenticados, con acceso de nivel de Autor o superior, inyecten scripts web arbitrarios que se ejecutan cada vez que un usuario con mayores privilegios (como un administrador) abre la ventana emergente del editor de IA de ShortPixel (Eliminación de Fondo o Escalado de Imagen) para el adjunto envenenado.