Plateforme
wordpress
Composant
wp-slimstat
Corrigé dans
5.3.6
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le plugin WordPress SlimStat Analytics. Cette faille, affectant les versions de 0.0.0 à 5.3.5, permet à un attaquant non authentifié d'injecter des scripts web arbitraires. L'exploitation réussie de cette vulnérabilité peut compromettre la sécurité des utilisateurs et des données du site WordPress. Une version corrigée, 5.4.0, est désormais disponible.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'exécuter du code JavaScript malveillant dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu de la page web. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées contre les utilisateurs du site. La surface d'attaque est étendue car la vulnérabilité est présente dans toutes les versions affectées et ne nécessite pas d'authentification préalable.
Cette vulnérabilité a été rendue publique le 2026-03-19. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation des vulnérabilités XSS.
Websites using the SlimStat Analytics plugin, particularly those running older versions (0.0.0–5.3.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r 'fh=.*;' /var/www/html/wp-content/plugins/slimstat-analytics/*• generic web:
curl -I 'https://your-wordpress-site.com/?fh=<script>alert(1)</script>' | grep 'Content-Type:'• wordpress / composer / npm:
wp plugin list --status=active | grep slimstat-analyticsdisclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin SlimStat Analytics vers la version 5.4.0 ou supérieure. Si la mise à jour n'est pas possible immédiatement, envisagez de désactiver temporairement le plugin. En attendant, une solution de contournement potentielle pourrait consister à implémenter des règles WAF (Web Application Firewall) pour bloquer les requêtes contenant des charges utiles XSS suspectes dans le paramètre 'fh'. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'aucune erreur ne se produit.
Mettre à jour vers la version 5.4.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1238 is a stored Cross-Site Scripting (XSS) vulnerability in the SlimStat Analytics WordPress plugin, allowing attackers to inject malicious scripts via the 'fh' parameter.
You are affected if you are using SlimStat Analytics WordPress plugin versions 0.0.0 through 5.3.5. Upgrade to 5.4.0 or later to mitigate the risk.
Upgrade the SlimStat Analytics plugin to version 5.4.0 or later. Consider a WAF rule to block suspicious input in the 'fh' parameter as a temporary workaround.
As of now, there are no reports of active exploitation campaigns targeting CVE-2026-1238, but the vulnerability's ease of exploitation warrants caution.
Refer to the SlimStat Analytics plugin documentation and website for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.