Plataforma
wordpress
Componente
wp-slimstat
Corregido en
5.3.6
CVE-2026-1238 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado descubierta en el plugin SlimStat Analytics para WordPress. Esta falla permite a atacantes inyectar código JavaScript malicioso en páginas web, que se ejecuta en el navegador de los usuarios que las visitan. Las versiones afectadas son desde la 0.0.0 hasta la 5.3.5. La vulnerabilidad ha sido solucionada en la versión 5.4.0.
Un atacante puede explotar esta vulnerabilidad inyectando un script malicioso a través del parámetro 'fh' (fingerprint) en SlimStat Analytics. Este script se almacenará en la base de datos y se ejecutará cada vez que un usuario acceda a la página afectada. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto es significativo, ya que podría comprometer la seguridad de la aplicación y la información confidencial de los usuarios. La inyección de scripts podría ser utilizada para realizar ataques de phishing dirigidos o para obtener acceso no autorizado a cuentas de usuario.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. Es importante aplicar las mitigaciones lo antes posible. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción.
Websites using the SlimStat Analytics plugin, particularly those running older versions (0.0.0–5.3.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r 'fh=.*;' /var/www/html/wp-content/plugins/slimstat-analytics/*• generic web:
curl -I 'https://your-wordpress-site.com/?fh=<script>alert(1)</script>' | grep 'Content-Type:'• wordpress / composer / npm:
wp plugin list --status=active | grep slimstat-analyticsdisclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar SlimStat Analytics a la versión 5.4.0 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el plugin o restringir el acceso al parámetro 'fh'. Además, implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de código también es crucial.
Actualizar a la versión 5.4.0 o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1238 is a stored Cross-Site Scripting (XSS) vulnerability in the SlimStat Analytics WordPress plugin, allowing attackers to inject malicious scripts via the 'fh' parameter.
You are affected if you are using SlimStat Analytics WordPress plugin versions 0.0.0 through 5.3.5. Upgrade to 5.4.0 or later to mitigate the risk.
Upgrade the SlimStat Analytics plugin to version 5.4.0 or later. Consider a WAF rule to block suspicious input in the 'fh' parameter as a temporary workaround.
As of now, there are no reports of active exploitation campaigns targeting CVE-2026-1238, but the vulnerability's ease of exploitation warrants caution.
Refer to the SlimStat Analytics plugin documentation and website for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.