Plataforma
wordpress
Componente
wp-statistics
Corrigido em
14.16.5
14.16.5
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no plugin WP Statistics para WordPress. Esta falha permite que atacantes não autenticados injetem scripts web arbitrários em páginas de administração, comprometendo a segurança do site. A vulnerabilidade afeta todas as versões do plugin até, e incluindo, a versão 14.16.4. A correção foi lançada na versão 14.16.5.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código JavaScript arbitrário no contexto do navegador de um administrador do WordPress. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou até mesmo à tomada do controle completo da instalação do WordPress. O impacto é significativo, pois um atacante pode comprometer a confidencialidade, integridade e disponibilidade do site e dos dados do usuário. A injeção ocorre através do parâmetro 'utm_source' e é persistente, afetando todos os administradores que acessam as páginas afetadas.
Esta vulnerabilidade foi divulgada em 2026-04-17. Não há relatos públicos de exploração ativa no momento. A pontuação CVSS de 7.2 (ALTO) indica um risco significativo. Não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP Statistics para a versão 14.16.5 ou superior. Se a atualização imediata não for possível, considere desativar temporariamente o plugin ou restringir o acesso ao parâmetro 'utm_source'. Implementar uma WAF (Web Application Firewall) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Monitore os logs do WordPress em busca de atividades suspeitas relacionadas à injeção de scripts.
Atualize para a versão 14.16.5, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into websites visited by other users.
An attacker could steal sensitive information, redirect users to malicious websites, or modify the content of your website.
Change all user passwords, scan your website for malware, and consider restoring from a clean backup.
Yes, after updating to version 14.16.5 or higher, WP Statistics is safe to use.
You can download the latest version of WP Statistics from the official WordPress repository: [https://wordpress.org/plugins/wp-statistics/](https://wordpress.org/plugins/wp-statistics/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.