Gratis scannen
HIGHCVE-2026-5231CVSS 7.2

De WP Statistics plugin voor WordPress is kwetsbaar voor Stored Cross-Site Scripting via de 'utm_source' parameter in alle versies tot en met 14.16.4. Dit komt door onvoldoende input sanitatie en output escaping. De referral parser van de plugin kopieert de ruwe utm_source waarde naar het source_name veld wanneer een wildcard channel domein overeenkomt, en de chart renderer voegt deze waarde later in legend markup in via innerHTML zonder escaping. Hierdoor kunnen ongeauthenticeerde

Platform

wordpress

Component

wp-statistics

Opgelost in

14.16.5

14.16.5

AI Confidence: highNVDEPSS 0.0%Beoordeeld: apr 2026
Bekijk op NVD
Opslaan

CVE-2026-5231 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de WP Statistics WordPress plugin. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om schadelijke webscripts te injecteren in admin pagina's. De kwetsbaarheid treft alle versies van de plugin tot en met 14.16.4. Een update naar versie 14.16.5 lost dit probleem op.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het uitvoeren van willekeurige JavaScript code in de context van een beheerder van de WordPress website. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de website te defacen. De impact is aanzienlijk, omdat een aanvaller controle kan krijgen over de beheerderaccount en potentieel de gehele website kan compromitteren. De kwetsbaarheid is te wijten aan onvoldoende sanitatie en escaping van de 'utm_source' parameter, waardoor deze ongefilterd in de legend markup wordt weergegeven.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2026-04-17. Er zijn geen KEV vermeldingen bekend op het moment van schrijven.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten2 dreigingsrapporten

EPSS

0.03% (9% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentwp-statistics
Leverancierwordfence
Getroffen bereikOpgelost in
0.0.0 – 14.16.414.16.5
14.16.414.16.5

Pakketinformatie

Actieve installaties
600KPopulair
Plugin-beoordeling
4.1
Vereist WordPress
6.6+
Compatibel tot
7.0
Vereist PHP
7.4+
Website

Zwakheidsclassificatie (CWE)

CWE-79

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt
-6 dagen na openbaarmaking gepatcht

Mitigatie en Workarounds

De primaire mitigatie is het updaten van de WP Statistics plugin naar versie 14.16.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de admin pagina's of het implementeren van een Web Application Firewall (WAF) die XSS aanvallen kan detecteren en blokkeren. Controleer de 'utmsource' parameter op verdachte patronen en filter deze indien mogelijk. Na de upgrade, verifieer de fix door een poging te doen om een XSS payload via de 'utmsource' parameter in te voeren en controleer of deze niet wordt uitgevoerd.

Hoe te verhelpen

Update naar versie 14.16.5, of een nieuwere gepatchte versie

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-5231 — Cross-Site Scripting (XSS) in wp-statistics?

XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into websites visited by other users.

Am I affected by CVE-2026-5231 in wp-statistics?

An attacker could steal sensitive information, redirect users to malicious websites, or modify the content of your website.

How do I fix CVE-2026-5231 in wp-statistics?

Change all user passwords, scan your website for malware, and consider restoring from a clean backup.

Is CVE-2026-5231 being actively exploited?

Yes, after updating to version 14.16.5 or higher, WP Statistics is safe to use.

Where can I find the official wp-statistics advisory for CVE-2026-5231?

You can download the latest version of WP Statistics from the official WordPress repository: [https://wordpress.org/plugins/wp-statistics/](https://wordpress.org/plugins/wp-statistics/)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken