Plataforma
wordpress
Componente
visitors-traffic-real-time-statistics
Corregido en
8.4.1
El plugin Visitor Traffic Real Time Statistics para WordPress es vulnerable a Cross-Site Scripting (XSS) de tipo almacenado. Esta vulnerabilidad se encuentra en el parámetro 'page_title' y permite a atacantes no autenticados inyectar código malicioso. Las versiones afectadas son desde la 0.0.0 hasta la 8.4. Se recomienda actualizar a la versión 8.5 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en la sección 'Traffic by Title' del plugin. Cuando un administrador accede a esta sección, el script se ejecutará en su contexto, permitiendo al atacante robar cookies de sesión, redirigir al administrador a sitios web maliciosos o realizar otras acciones en nombre del usuario administrador. El impacto es significativo, ya que un atacante podría obtener control sobre la administración del sitio WordPress. La falta de sanitización adecuada de la entrada 'page_title' es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 4 de abril de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
WordPress websites utilizing the Visitor Traffic Real Time Statistics plugin, particularly those running older versions (0.0.0–8.4), are at risk. Sites with limited security monitoring and those where administrators frequently access the Traffic by Title section are especially vulnerable.
• wordpress / composer / npm:
grep -r "page_title'" /var/www/html/wp-content/plugins/visitor-traffic-real-time-statistics/• wordpress / composer / npm:
wp plugin list --status=active | grep 'visitor-traffic-real-time-statistics'• wordpress / composer / npm:
wp plugin update visitor-traffic-real-time-statistics --alldisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Visitor Traffic Real Time Statistics a la versión 8.5 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda limitar el acceso a la sección 'Traffic by Title' solo a usuarios con privilegios administrativos. Además, implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts en el parámetro 'page_title' puede ayudar a reducir el riesgo. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de scripts también es una medida preventiva.
Actualizar a la versión 8.5, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2936 is a Stored Cross-Site Scripting (XSS) vulnerability in the Visitor Traffic Real Time Statistics WordPress plugin, allowing attackers to inject malicious scripts.
You are affected if you are using the Visitor Traffic Real Time Statistics plugin in WordPress versions 0.0.0 through 8.4.
Upgrade the Visitor Traffic Real Time Statistics plugin to version 8.5 or later to resolve the vulnerability.
While no public exploits are currently known, the vulnerability's simplicity suggests it may be targeted by attackers.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.