Хакери ја злоупотребуваат ранливост за заобиколување на автентикација во WordPress приклучокот Burst Statistics

Хакери користат критична ранливост за заобиколување на автентикација во WordPress приклучокот Burst Statistics за да добијат администраторски пристап до веб-страници.

Burst Statistics е приватно-ориентиран аналитички приклучок што е активен на 200.000 WordPress страници и се рекламира како лесна алтернатива на Google Analytics.

Ранливоста, означена како CVE-2026-8181, е воведена на 23 април со верзијата 3.4.0 на приклучокот. Ранливиот код бил присутен и во следната верзија, 3.4.1.

Според Wordfence, која ја откри ранливоста CVE-2026-8181 на 8 мај, пропустот им овозможува на неавтентицирани напаѓачи да се претстават како познати администратори при REST API барања, па дури и да креираат лажни администраторски сметки.

„Оваа ранливост им овозможува на неавтентицирани напаѓачи кои знаат валидно корисничко име на администратор целосно да се претстават како тој администратор за времетраењето на било кое REST API барање, вклучувајќи WordPress core endpoint-и како /wp-json/wp/v2/users, со внесување било каква, дури и неточна лозинка во Basic Authentication header,“ објаснува Wordfence.

„Во најлош случај, напаѓач може да ја искористи оваа ранливост за да создаде нов администраторски акаунт без никаква претходна автентикација.“

Главната причина е неправилна интерпретација на резултатите од функцијата ‘wp_authenticate_application_password()’, конкретно третирање на ‘WP_Error’ како успешна автентикација.

Сепак, истражувачите објаснуваат дека WordPress понекогаш враќа ‘null’, што погрешно се третира како валидно најавување.

Како резултат, кодот ја повикува функцијата ‘wp_set_current_user()’ со корисничкото име дадено од напаѓачот, што ефективно му овозможува да се претстави како тој корисник за време на REST API барањето.

Администраторските кориснички имиња може да бидат изложени во блог постови, коментари или јавни API барања, но напаѓачите исто така можат да користат техники на погодување (brute force) за да ги откријат.

Администраторски пристап им овозможува на напаѓачите да пристапат до приватни бази на податоци, да вметнат задни врати (backdoors), да пренасочуваат посетители кон небезбедни локации, да дистрибуираат малвер, да создаваат лажни администраторски корисници и многу повеќе.

Иако Wordfence предупреди дека „очекуваме оваа ранливост да биде цел на напади и затоа ажурирањето на најновата верзија е критично“, нивниот систем покажува дека злонамерна активност веќе започнала.

Според истата платформа, безбедносната компанија има блокирано над 7.400 напади насочени кон CVE-2026-8181 во последните 24 часа, што покажува дека активноста е значајна.

Корисниците на Burst Statistics се советуваат да надградат на закрпената верзија 3.4.2, објавена на 12 мај 2026 година, или да го исклучат приклучокот на нивната страница.

Статистиките од WordPress.org покажуваат дека Burst Statistics имал 85.000 преземања од објавувањето на 3.4.2, што значи дека, ако сите се надградени, остануваат приближно 115.000 страници изложени на напади за преземање на администраторска контрола.

Извори:

• Bleeping Computer – Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin Bleeping Computer