CVE-2026-6275

Nome do Software Vulnerável e Versões Afetadas StatCounter – Free Real Time Visitor Stats versões anteriores a 2.1.2

Description O plugin está sujeito a Stored Cross-Site Scripting, uma falha onde scripts maliciosos são armazenados permanentemente no servidor alvo. Isso ocorre devido à escape de saída insuficiente do apelido do autor da postagem na função statcounter addToTags(). A função, que está vinculada ao wp head e é executada em cada página de postagem, recupera o apelido do autor via the author meta() e o exibe diretamente em um contexto de string de aspas duplas do JavaScript dentro de um bloco <script> sem aplicar esc js() ou escape equivalente para contexto JavaScript. Consequentemente, atacantes autenticados com nível de acesso de Autor ou superior podem injetar scripts web arbitrários que serão executados sempre que qualquer usuário, incluindo visitantes não autenticados, acessar uma postagem escrita pelo atacante.

Recommendations Atualize o plugin para uma versão posterior a 2.1.1. Como medida paliativa temporária, restrinja os usuários de possuírem nível de acesso de Autor ou superior até que a atualização seja aplicada.