De WP Statistics plugin voor WordPress is kwetsbaar voor Stored Cross-Site Scripting via de 'utm_source' parameter in alle versies tot en met 14.16.4. Dit komt door onvoldoende input sanitatie en output escaping. De referral parser van de plugin kopieert de ruwe utm_source waarde naar het source_name veld wanneer een wildcard channel domein overeenkomt, en de chart renderer voegt deze waarde later in legend markup in via innerHTML zonder escaping. Hierdoor kunnen ongeauthenticeerde

Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het uitvoeren van willekeurige JavaScript code in de context van een beheerder van de WordPress website. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites, of om de website te defacen. De impact is aanzienlijk, omdat een aanvaller controle kan krijgen over de beheerderaccount en potentieel de gehele website kan compromitteren. De kwetsbaarheid is te wijten aan onvoldoende sanitatie en escaping van de 'utm_source' parameter, waardoor deze ongefilterd in de legend markup wordt weergegeven.

1. Gereserveerd2026-03-31
2. Gepubliceerd2026-04-17
3. Gewijzigd2026-04-22
4. EPSS bijgewerkt2026-04-24

De primaire mitigatie is het updaten van de WP Statistics plugin naar versie 14.16.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de admin pagina's of het implementeren van een Web Application Firewall (WAF) die XSS aanvallen kan detecteren en blokkeren. Controleer de 'utmsource' parameter op verdachte patronen en filter deze indien mogelijk. Na de upgrade, verifieer de fix door een poging te doen om een XSS payload via de 'utmsource' parameter in te voeren en controleer of deze niet wordt uitgevoerd.

Actieve installaties

600KPopulair

Plugin-beoordeling