Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação no plugin Burst Statistics para WordPress, a fim de obter acesso com privilégios de administrador em sites.
O Burst Statistics é um plugin de análise com foco em privacidade, ativo em 200.000 sites WordPress, e é apresentado como uma alternativa leve ao Google Analytics.
A falha, identificada como
CVE-2026-8181
, foi introduzida em 23 de abril com o lançamento da versão 3.4.0 do plugin.
O código vulnerável também estava presente na versão seguinte, 3.4.1.
Segundo a Wordfence, que descobriu a
CVE-2026-8181
em 8 de maio, a falha permite que atacantes sem autenticação se passem por usuários administradores conhecidos durante requisições à REST API e até criem contas falsas de administrador.
“Essa vulnerabilidade permite que atacantes não autenticados, que conheçam um nome de usuário válido de administrador, se passem totalmente por esse administrador durante qualquer requisição da REST API, incluindo endpoints nativos do WordPress como /wp-json/wp/v2/users, ao fornecer qualquer senha arbitrária e incorreta em um cabeçalho de Autenticação Básica”, explicou a Wordfence.
“Em um cenário mais grave, um atacante poderia explorar essa falha para criar uma nova conta com nível de administrador sem qualquer autenticação prévia.”
A causa raiz está na interpretação incorreta dos resultados da função `wp_authenticate_application_password()`, que trata um `WP_Error` como se fosse sinal de autenticação bem-sucedida.
No entanto, os pesquisadores explicam que o WordPress também pode retornar `null` em alguns casos, e esse resultado é interpretado por engano como uma requisição autenticada.
Como consequência, o código chama `wp_set_current_user()` com o nome de usuário fornecido pelo atacante, o que efetivamente permite a impersonação desse usuário durante a requisição à REST API.
Nomes de usuário de administradores podem aparecer em publicações de blog, comentários ou até em requisições públicas à API, mas os atacantes também podem usar técnicas de força bruta para descobri-los.
O acesso com privilégios de administrador permite invadir bancos de dados privados, instalar backdoors, redirecionar visitantes para destinos inseguros, distribuir malware, criar novos usuários administradores falsos e muito mais.
Embora a Wordfence tenha alertado em sua publicação que “espera que essa vulnerabilidade seja alvo de atacantes e, por isso, atualizar para a versão mais recente o quanto antes é crítico”, o monitoramento da empresa já mostra atividade maliciosa em andamento.
Segundo a própria Wordfence, a empresa de segurança de sites bloqueou mais de 7.400 ataques contra a
CVE-2026-8181
nas últimas 24 horas, o que mostra que a exploração já é significativa.
Usuários do plugin Burst Statistics são recomendados a atualizar para a versão corrigida, 3.4.2, lançada em 12 de maio de 2026, ou desativar o plugin em seus sites.
Dados do WordPress.org indicam que o Burst Statistics recebeu 85.000 downloads desde o lançamento da 3.4.2.
Assim, supondo que todos tenham sido da versão mais recente, ainda há cerca de 115.000 sites expostos a ataques de tomada de conta de administrador.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...