Хакеры используют критическую уязвимость обхода аутентификации в плагине Burst Statistics для получения доступа к веб-сайтам на уровне администратора.
Burst Statistics — это ориентированный на приватность плагин аналитики, используемый на 200 000 сайтах WordPress и позиционируемый как облегченная альтернатива Google Analytics.
Уязвимость, отслеживаемая как CVE-2026-8181, была обнаружена 23 апреля с выходом версии 3.4.0 плагина. Уязвимый код также присутствовал в следующей версии, 3.4.1.
По данным Wordfence, обнаружившей CVE-2026-8181 8 мая, эта уязвимость позволяет неаутентифицированным злоумышленникам выдавать себя за известных администраторов во время REST API запросов и даже создавать поддельные аккаунты администраторов.
«Эта уязвимость позволяет неавторизованным злоумышленникам, знающим валидное имя администратора, полностью выдавать себя за этого администратора на протяжении всего запроса REST API, включая конечные точки ядра WordPress, такие как /wp-json/wp/v2/users, путем предоставления любого произвольного/некорректного пароля в заголовке Basic Authentication», — поясняет Wordfence.
В худшем случае злоумышленник мог использовать эту уязвимость для создания нового аккаунта администратора без какой-либо предварительной аутентификации.
Основная причина заключается в неправильной интерпретации результатов функции wp_authenticate_application_password(); в частности, WP_Error рассматривается как признак успешной аутентификации.
Однако исследователи объясняют, что WordPress в некоторых случаях может возвращать null, что ошибочно воспринимается как аутентифицированный запрос.
В результате код вызывает wp_set_current_user() с предоставленным злоумышленником именем пользователя, фактически мимикрируя под этого пользователя на протяжении всего запроса REST API.
Имена администраторов могут быть видны в сообщениях блога, комментариях или даже в публичных запросах API, но злоумышленники также могут использовать методы перебора для их угадывания.
Уровень администратора позволяет злоумышленникам получать доступ к приватным базам данных, устанавливать бэкдоры, перенаправлять посетителей на небезопасные ресурсы, распространять вредоносное ПО, создавать фейковых администраторов и многое другое.
Wordfence в своем сообщении предупредила, что «эта уязвимость, как ожидается, станет целью номер один для злоумышленников, и поэтому мы рекомендуем обновиться до последней версии как можно скорее». Трекер Wordfence свидетельствует о том, что вредоносная активность уже началась.
По данным той же компании, система Wordfence заблокировала более 7400 атак, направленных на CVE-2026-8181, за последние 24 часа, так что активность значительная.
Пользователям плагина Burst Statistics рекомендуется обновиться до исправленной версии 3.4.2, выпущенной 12 мая 2026 года, или отключить плагин на своем сайте.
По данным статистики WordPress.org, с момента выпуска версии 3.4.2 плагин Burst Statistics был загружен 85 000 раз, поэтому, если предположить, что все загрузки были связаны с последней версией, остается примерно 115 000 сайтов, подверженных атакам с захватом администраторских полномочий.
Источник: https://www.bleepingcomputer.com
