The SlimStat Analytics plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the `fh` (fingerprint) parameter in all versions up to, and including, 5.3.3. This is due to insufficient input sanitization and output escaping on the fingerprint value stored in the database. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever an administrator views the Real-time Access Log report.
The SlimStat Analytics plugin for WordPress versions up to 5.3.3 contains a stored cross-site scripting vulnerability in the fingerprint (fh) parameter. Unauthenticated attackers can inject malicious scripts that execute when administrators view the Real-time Access Log report, potentially leading to session hijacking or privilege escalation.
تسمح هذه الثغرة الأمنية للمهاجمين غير المصادق عليهم بحقن سكريبتات ويب ضارة في قاعدة البيانات من خلال معامل البصمة (fh) دون تنقية كافية للمدخلات. عند قيام المسؤول بعرض تقرير سجل الوصول الفوري في لوحة التحكم، يتم تنفيذ السكريبت المحقون تلقائياً. يمكن استغلال هذه الثغرة لسرقة بيانات اعتماد المسؤولين، تنفيذ إجراءات إدارية غير مصرح بها، أو تثبيت أبواب خلفية في الموقع. تصنف الثغرة بدرجة خطورة عالية (7.2) وتؤثر على جميع الإصدارات حتى 5.3.3 من الإضافة.
تحتوي إضافة SlimStat Analytics لووردبريس حتى الإصدار 5.3.3 على ثغرة حقن سكريبت مخزن في معامل البصمة (fh). يمكن للمهاجمين غير المصادق عليهم حقن سكريبتات ضارة تُنفذ عند عرض المسؤولين لتقرير سجل الوصول الفوري، مما قد يؤدي إلى اختطاف الجلسات أو رفع الصلاحيات.
1. Immediately update SlimStat Analytics plugin to version 5.3.4 or later if available, or disable and remove the plugin until a patched version is released
2. Implement Web Application Firewall (WAF) rules to filter malicious input in the fh parameter and sanitize all user-supplied data before database storage
3. Conduct security audit of WordPress admin sessions, review Real-time Access Log entries for suspicious scripts, and implement Content Security Policy (CSP) headers to prevent XSS execution
1. تحديث إضافة SlimStat Analytics فوراً إلى الإصدار 5.3.4 أو أحدث إن وُجد، أو تعطيل وإزالة الإضافة حتى صدور إصدار محدّث
2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لتصفية المدخلات الضارة في معامل fh وتنقية جميع البيانات المقدمة من المستخدمين قبل تخزينها في قاعدة البيانات
3. إجراء تدقيق أمني لجلسات مسؤولي ووردبريس، مراجعة إدخالات سجل الوصول الفوري للكشف عن سكريبتات مشبوهة، وتطبيق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ XSS