平台
wordpress
组件
wp-slimstat
修复版本
5.3.6
CVE-2026-1238 描述了 WordPress 插件 SlimStat Analytics 中的存储型跨站脚本攻击(XSS)漏洞。该漏洞允许未经身份验证的攻击者通过注入恶意脚本,并在用户访问受影响页面时执行这些脚本。该漏洞影响 SlimStat Analytics 插件的 0.0.0 到 5.3.5 版本。已发布补丁版本 5.4.0,建议用户尽快升级。
攻击者可以利用此 XSS 漏洞在 SlimStat Analytics 插件的页面中注入任意 JavaScript 代码。一旦注入,这些脚本将在任何访问受影响页面的用户浏览器中执行,从而可能导致攻击者窃取用户的 Cookie、会话令牌或其他敏感信息。攻击者还可以利用此漏洞重定向用户到恶意网站,或在受害者不知情的情况下执行其他恶意操作。由于该漏洞无需身份验证,攻击者可以轻松地利用它来影响大量用户。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞无需身份验证且易于利用,因此存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using the SlimStat Analytics plugin, particularly those running older versions (0.0.0–5.3.5), are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.
• wordpress / composer / npm:
grep -r 'fh=.*;' /var/www/html/wp-content/plugins/slimstat-analytics/*• generic web:
curl -I 'https://your-wordpress-site.com/?fh=<script>alert(1)</script>' | grep 'Content-Type:'• wordpress / composer / npm:
wp plugin list --status=active | grep slimstat-analyticsdisclosure
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
最有效的缓解措施是立即将 SlimStat Analytics 插件升级到 5.4.0 或更高版本。如果无法立即升级,可以尝试禁用 SlimStat Analytics 插件,或者限制对受影响参数 'fh' 的访问。此外,可以配置 Web 应用防火墙(WAF)来检测和阻止包含恶意脚本的请求。建议定期审查 WordPress 插件的安全性,并及时更新所有插件以修复已知的漏洞。
更新至 5.4.0 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1238 是 SlimStat Analytics WordPress 插件中的存储型跨站脚本攻击(XSS)漏洞,允许攻击者注入恶意脚本。
如果您正在使用 SlimStat Analytics 插件的 0.0.0 到 5.3.5 版本,则可能受到此漏洞的影响。
请将 SlimStat Analytics 插件升级到 5.4.0 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于该漏洞易于利用,因此存在被攻击者的利用的可能性。
请访问 SlimStat Analytics 官方网站或 WordPress 插件目录以获取更多信息。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。