SlimStat Analytics <= 5.3.5 - 'fh'パラメータを介した認証されていないStored Cross-Site Scripting

このXSS脆弱性は、攻撃者にとって非常に危険です。攻撃者は、SlimStat Analyticsを使用しているWordPressサイトのユーザーを標的に、悪意のあるスクリプトを注入できます。このスクリプトは、ユーザーのブラウザで実行され、Cookieの窃取、セッションハイジャック、リダイレクト、または悪意のあるコンテンツの表示など、さまざまな悪用につながる可能性があります。特に、管理者権限を持つユーザーが標的にされると、サイト全体が危険にさらされる可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。

Websites using the SlimStat Analytics plugin, particularly those running older versions (0.0.0–5.3.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.

• wordpress / composer / npm:

grep -r 'fh=.*;' /var/www/html/wp-content/plugins/slimstat-analytics/*

• generic web:

curl -I 'https://your-wordpress-site.com/?fh=<script>alert(1)</script>' | grep 'Content-Type:'

• wordpress / composer / npm:

wp plugin list --status=active | grep slimstat-analytics

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2026-01-20
2. 公開日2026-03-19
3. 更新日2026-04-08
4. EPSS 更新日2026-03-26

この脆弱性への最も効果的な対策は、SlimStat Analyticsプラグインをバージョン5.4.0以降にアップデートすることです。アップデートがすぐに利用できない場合、一時的な対策として、WordPressのWAF（Web Application Firewall）プラグインを使用して、XSS攻撃をブロックすることができます。また、入力フィールドのサニタイズと出力エスケープを強化するカスタムコードを実装することも有効です。さらに、WordPressのセキュリティプラグインを使用して、不審なアクティビティを監視し、早期に検出することも重要です。

アクティブインストール数

80K人気

プラグイン評価