Wp Statistics
Уязвимости
26
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.81363
Распределение по критичности
Критический
2
Высокий
12
Средний
12
Низкий
0
Затронутые диапазоны версий
< 12.0.6< 12.0.8< 13.0.8< 13.2.0< 13.2.11< 13.2.2< 13.2.9< 14.0< 14.13.4< 14.15.2< 14.5.1≤ 12.6.2≤ 12.6.5≤ 12.6.6≤ 13.1.1≤ 13.1.4≤ 13.1.5≤ 14.15.4≤ 14.16.4≤ 14.16.6
Также сопоставлено как (исходные строки): wp_statistics
Топ уязвимостей
CVE-2019-13275В плагине VeronaLabs wp-statistics до версии 12.6.7 для WordPress обнаружена проблема. Конечная точка v1/hit API, когда включена не стандартная настройка «использовать плагин кеширования», уязвима для не прошедшей проверку подлинности слепой SQL-инъекции.
CVE-2017-18515Плагин wp-statistics версий до 12.0.8 для WordPress имеет SQL-инъекцию.
CVE-2023-0955Плагин WP Statistics для WordPress до версии 14.0 не экранирует параметр, что может позволить аутентифицированным пользователям выполнять атаки SQL Injection. По умолчанию затронутая функция доступна пользователям с правом manage_options (admin+), однако плагин имеет настройки, позволяющие пользователям с низкими привилегиями также получить к ней доступ.
CVE-2022-4230WordPress-плагин WP Statistics до версии 13.2.9 не экранирует параметр, что может позволить аутентифицированным пользователям выполнять атаки SQL-инъекций. По умолчанию затронутая функция доступна пользователям с возможностью manage_options (admin+), однако плагин имеет настройки, позволяющие пользователям с низкими привилегиями также получать к ней доступ.
CVE-2022-38074Уязвимость SQL-инъекции в плагине VeronaLabs WP Statistics <= 13.2.10 версий.
CVE-2022-25149Плагин WP Statistics WordPress подвержен SQL-инъекции из-за недостаточного экранирования и параметризации параметра IP, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-25148Плагин WP Statistics WordPress подвержен SQL-инъекции из-за недостаточного экранирования и параметризации параметра current_page_id, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-0651Плагин WP Statistics WordPress уязвим для SQL-инъекций из-за недостаточного экранирования и параметризации параметра current_page_type, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации в версиях до 13.1.5 включительно.
CVE-2022-0513Плагин WP Statistics для WordPress уязвим к SQL-инъекции из-за недостаточного экранирования и параметризации параметра exclusion_reason, найденного в файле ~/includes/class-wp-statistics-exclusion.php, что позволяет злоумышленникам без аутентификации внедрять произвольные SQL-запросы для получения конфиденциальной информации, в версиях до и включая 13.1.4. Для этого необходимо включить опцию "Запись исключений" на уязвимом сайте.
CVE-2021-24340WordPress плагин WP Statistics версий до 13.0.8 полагался на использование функции WordPress esc_sql() для поля, не ограниченного кавычками, и предварительно не подготавливал запрос. Кроме того, страница, которая должна была быть доступна только администратору, была также доступна любому посетителю, включая неаутентифицированных.
CVE-2026-5231Плагин WP Statistics для WordPress уязвим для Хранимого межсайтового сценария через параметр 'utm_source' во всех версиях до, в том числе, 14.16.4. Это связано с недостаточной дезинфекцией ввода и выходом из эксплуатации. Реферальный парсер плагина копирует необработанное значение utm_source в поле source_name, когда домен канала wildcard совпадает, и рендерер диаграмм позже вставляет это значение в разметку легенды через innerHTML, не убегая. Это позволяет неаутентифицированным злоумышленникам вводить произвольные веб-скрипты на админ-страницах, которые будут выполняться всякий раз, когда администратор получает доступ к обзору рефералов или страницам аналитики социальных сетей.
CVE-2025-9816Плагин WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin для WordPress уязвим к Stored Cross-Site Scripting через заголовок User-Agent во всех версиях до 14.5.4 включительно из-за недостаточной проверки входных данных и экранирования выходных данных. Это позволяет неаутентифицированным злоумышленникам внедрять произвольные веб-скрипты на страницах, которые будут выполнены при доступе пользователя к зараженной странице [1].
Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/d8351204-da6d-443a-98b5-0608bfb1e9d0?source=cve
- [2] https://plugins.trac.wordpress.org/browser/wp-statistics/tags/14.15.3/includes/admin/templates/pages/devices/models.php#L31
CVE-2024-2194Плагин WP Statistics для WordPress уязвим для Stored Cross-Site Scripting через параметр поиска URL во всех версиях до 14.5 включительно из-за недостаточной очистки входных данных и экранирования выходных данных. Это позволяет не прошедшим проверку подлинности злоумышленникам внедрять произвольные веб-скрипты на страницы, которые будут выполняться всякий раз, когда пользователь заходит на внедренную страницу.
CVE-2026-48839Неправильное нейтрализование ввода во время генерации веб-страниц («Cross-site Scripting») в VeronaLabs WP Statistics позволяет на основе DOM XSS.
Эта проблема затрагивает статистику WP: от n/д до 14.16.6.
CVE-2026-3488Плагин WP Statistics для WordPress уязвим для Missing Authorization во всех версиях до 14.16.4. Это связано с отсутствующими проверками возможностей нескольких обработчиков AJAX, включая `wp_statistics_get_filters`, `wp_statistics_getPrivacyStatus`, `wp_statistics_updatePrivacyStatus` и `wp_statistics_miss_notices`. Эти конечные точки только проверяют `wp_rest` nonce через `check_ajax_referer()` только, но не обеспечивают никаких проверок возможностей, таких как `current_user_can()` или собственный `User:Access()` метод плагина. Поскольку awp_rest` nonce доступен для всех аутентифицированных пользователей WordPress, это позволяет аутентифицированным злоумышленникам с доступом к конфиденциальным аналитическим данным (идентификаторы пользователей, электронные письма, данные отслеживания посетителей), извлекать и изменять статус соответствия аудита конфиденциальности и отклонять административные уведомления.
CVE-2021-4333Плагин WP Statistics для WordPress уязвим для межсайтовой подделки запросов в версиях до 13.1.1 включительно. Это связано с отсутствием или неправильной проверкой nonce в функции view(). Это позволяет не прошедшим проверку подлинности злоумышленникам активировать и деактивировать произвольные плагины с помощью поддельного запроса, если они смогут обманом заставить администратора сайта выполнить такое действие, как нажатие на ссылку.
CVE-2022-27231В версиях WP Statistics до 13.2.0 существует уязвимость межсайтового скриптинга, поскольку он неправильно обрабатывает параметр платформы. Используя эту уязвимость, произвольный скрипт может быть выполнен в веб-браузере пользователя, который входит на веб-сайт с использованием продукта.
CVE-2022-25307Плагин WP Statistics для WordPress подвержен уязвимости межсайтового скриптинга (XSS) из-за недостаточной экранированности и очистки параметра platform, найденного в файле ~/includes/class-wp-statistics-hits.php, что позволяет злоумышленникам внедрять произвольные веб-скрипты на несколько страниц, которые выполняются при просмотре администраторами статистики сайтов. Это касается версий до и включая 13.1.5.
CVE-2022-25306Плагин WP Statistics WordPress уязвим для межсайтового скриптинга из-за недостаточного экранирования и очистки параметра browser, найденного в файле ~/includes/class-wp-statistics-visitor.php, что позволяет злоумышленникам внедрять произвольные веб-скрипты на несколько страниц, которые выполняются, когда администраторы сайта просматривают статистику сайта, в версиях до 13.1.5 включительно.
CVE-2022-25305Плагин WP Statistics для WordPress подвержен уязвимости межсайтового скриптинга (XSS) из-за недостаточной экранированности и очистки параметра IP, найденного в файле ~/includes/class-wp-statistics-ip.php, что позволяет злоумышленникам внедрять произвольные веб-скрипты на несколько страниц, которые выполняются при просмотре администраторами статистики сайтов. Это касается версий до и включая 13.1.5.
CVE-2022-1005Плагин WP Statistics WordPress до версии 13.2.2 не очищает параметр REQUEST_URI перед его выводом обратно на отображаемой странице, что приводит к межсайтовому скриптингу (XSS) в веб-браузерах, которые не кодируют символы.
CVE-2019-10864Плагин WP Statistics до версии 12.6.2 для WordPress имеет XSS, позволяющий удаленному злоумышленнику внедрять произвольный веб-скрипт или HTML через заголовок Referer GET-запроса.
CVE-2018-1000556WordPress версии 4.8 + содержит уязвимость Cross Site Scripting (XSS) в plugins.php или core wordpress в функции delete, которая может привести к тому, что злоумышленник сможет выполнять атаки на стороне клиента, начиная от кражи cookie и заканчивая внедрением кода. Эта атака, по-видимому, может быть использована, если злоумышленник создаст URL-адрес с полезной нагрузкой и отправит его пользователю. Жертве необходимо открыть ссылку, чтобы подвергнуться отраженному XSS.
CVE-2025-3953Плагин WP Statistics – The Most Popular Privacy-Friendly Analytics Plugin для WordPress уязвим к неавторизованному изменению данных из-за отсутствия проверки прав доступа на функцию 'optionUpdater' во всех версиях вплоть до 14.13.3 [1]. Это позволяет аутентифицированным злоумышленникам с уровнем доступа Subscriber и выше обновлять произвольные настройки плагина.
### Источники:
- [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/07f7ef07-0f14-4b74-8d47-d5dece4954b0?source=cve
- [2] https://plugins.trac.wordpress.org/browser/wp-statistics/tags/14.13.2/src/Service/Admin/AjaxOptionUpdater.php#L33
- [3] https://plugins.trac.wordpress.org/changeset/3283791/
CVE-2019-12566Плагин WP Statistics до версии 12.6.5 для Wordpress имеет сохраненный XSS в includes/class-wp-statistics-pages.php. Это связано с учетной записью с ролью редактора, создающей публикацию с заголовком, содержащим JavaScript, для атаки на пользователя-администратора.