平台
wordpress
组件
wp-statistics
修复版本
14.16.5
14.16.5
CVE-2026-5231是一个存储型跨站脚本攻击(XSS)漏洞,影响WordPress插件WP Statistics。该漏洞源于对utm_source参数输入验证不足,导致恶意脚本能够被注入到管理员页面中执行。受影响的版本包括14.16.4及更早版本。目前已发布修复版本14.16.5。
CVE-2026-5231 在 WordPress 的 WP Statistics 插件中允许存储型跨站脚本 (XSS) 漏洞。这意味着攻击者可以将恶意代码 (JavaScript) 注入到网站中,该代码将在其他访问者的浏览器中执行。此漏洞在于插件处理推荐链接 URL 中的 'utmsource' 参数的方式。如果攻击者为 'utmsource' 提供一个与通配符渠道域名匹配的恶意值,则该值将在未经适当清理的情况下复制到 'source_name' 字段。随后,该值将使用 innerHTML 插入到图表图例标记中,而没有进行转义,从而允许执行恶意脚本。攻击者可以使用此漏洞来窃取 Cookie、将用户重定向到恶意网站或修改网站内容。
此漏洞是通过操纵推荐链接 URL 中的 'utmsource' 参数来利用的。攻击者可以创建一个包含 'utmsource' 值中 JavaScript 代码的恶意 URL。当用户访问此 URL 并且 WP Statistics 插件处理它时,JavaScript 代码将被存储,并在图表显示在网站上时稍后执行。利用成功取决于插件的配置以及与恶意 'utm_source' 值匹配的通配符渠道域名的存在。缺乏身份验证意味着任何用户,甚至未注册的用户,都可能潜在地利用此漏洞。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
解决方案是将 WP Statistics 插件更新到 14.16.5 或更高版本。此版本包含修复程序,该修复程序可以正确清理 'utm_source' 输入,并在将其插入 HTML 之前转义输出。建议尽快执行此更新,以降低被利用的风险。此外,请检查您的网站日志是否存在任何可疑活动。如果怀疑发生入侵,请采取进一步措施,例如更改所有用户密码并扫描网站是否存在恶意软件。保持所有插件和 WordPress 核心更新至关重要,以确保网站安全。
更新到 14.16.5 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本)是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户访问的网站中。
攻击者可能会窃取敏感信息、将用户重定向到恶意网站或修改您网站的内容。
更改所有用户密码、扫描您的网站是否存在恶意软件,并考虑从干净的备份中恢复。
在更新到 14.16.5 或更高版本后,WP Statistics 是安全的。
您可以在官方 WordPress 存储库中下载 WP Statistics 的最新版本:[https://wordpress.org/plugins/wp-statistics/](https://wordpress.org/plugins/wp-statistics/)
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。