XSS- en SQLi-kwetsbaarheden in de Slimstat Analytics-plugin

Op 24 augustus 2023 heeft ons Wordfence Threat Intelligence-team een verantwoordelijkheidsdisclosureproces gestart voor een opgeslagen Cross-Site Scripting (XSS) en een Blind SQL Injection-kwetsbaarheid in de Slimstat Analytics-plugin, die actief is ge├»nstalleerd op meer dan 100.000 WordPress-websites. De kwetsbaarheid stelt bedreigingsacteurs met bijdragersniveau machtigingen of hoger in staat kwaadaardige webscripts in pagina’s te injecteren of SQL-query’s uit te voeren door ze toe te voegen aan een bestaande SQL-query met behulp van de shortcode van de plugin.

We dringen er bij gebruikers op aan hun sites zo snel mogelijk bij te werken naar de nieuwste gepatchte versie van Slimstat Analytics, versie 5.0.10 op het moment van schrijven.

Lees het volledige artikel op de Wordfence-blog

Opgeslagen Cross-Site Scripting (XSS): Getroffen plugin: Slimstat Analytics CVE ID: CVE-2023-4597 Beschrijving: Geauthenticeerde aanvallers met bijdragersniveau toegang konden schadelijke scripts injecteren in pagina’s. Blind SQL Injection: Getroffen plugin: Slimstat Analytics CVE ID: CVE-2023-4598 Beschrijving: Geauthenticeerde aanvallers met bijdragersniveau toegang konden SQL-query’s uitvoeren, mogelijk gevoelige gegevens uit de database halen. Disclosure-tijdlijn:

  • 24 augustus 2023: Kwetsbaarheden ontdekt.
  • 28 augustus 2023: Patch (versie 5.0.10) uitgebracht.