Le plugin WP Statistics pour WordPress est vulnérable à une Cross-Site Scripting (XSS) stockée via le paramètre 'utm_source' dans toutes les versions jusqu'à et incluant 14.16.4. Ceci est dû à une validation et un échappement insuffisants des entrées. Le parseur de référence du plugin copie la valeur brute de utm_source dans le champ source_name lorsque le domaine de canal générique correspond, et le rendu du graphique insère ensuite cette valeur dans le balisage de légende via innerHTML sans échappement. Cela permet à des attaquants non authentifiés

L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code JavaScript malveillant dans le contexte du navigateur de l'administrateur WordPress. Cela peut conduire au vol de cookies de session, au détournement de session, à la modification du contenu du site web, ou à la redirection des utilisateurs vers des sites malveillants. L'attaquant pourrait également utiliser cette vulnérabilité pour installer des portes dérobées ou des logiciels malveillants sur le serveur WordPress. Le risque est accru si l'administrateur utilise un mot de passe faible ou si le site web est vulnérable à d'autres attaques.

1. Réservé2026-03-31
2. Publiée2026-04-17
3. Modifiée2026-04-22
4. EPSS mis à jour2026-04-24

La mitigation principale consiste à mettre à jour le plugin wp-statistics vers la version 14.16.5 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver le plugin ou à restreindre l'accès à la fonctionnalité concernée. Il est également recommandé de mettre en œuvre des règles de pare-feu applicatif (WAF) pour bloquer les requêtes contenant des charges utiles XSS potentielles. Surveillez attentivement les journaux du serveur WordPress pour détecter toute activité suspecte.

Installations actives

600KPopulaire

Note du plugin