CVE-2026-8181

Nome do Software Vulnerável e Versões Afetadas Burst Statistics versões 3.4.0 a 3.4.1.1

Description O plugin Burst Statistics – Privacy-Friendly WordPress Analytics (Google Analytics Alternative) para WordPress contém uma falha de bypass de autenticação. O problema decorre do manuseio incorreto do valor de retorno na função is mainwp authenticated() ao validar senhas de aplicativo do cabeçalho de Autorização. Isso permite que um invasor não autenticado, que conheça o nome de usuário de um administrador, personifique esse administrador durante a requisição ao fornecer qualquer senha de Autenticação Básica aleatória, resultando em escalonamento de privilégios e controle total do site. Estima-se que mais de 200.000 sites em todo o mundo sejam afetados, com mais de 7.400 ataques registrados nas primeiras 24 horas após a divulgação.

Recommendations Atualize o Burst Statistics para a versão 3.4.2. Audite as contas de administrador para identificar quaisquer usuários não reconhecidos criados durante o período de exposição. Ative as atualizações automáticas de plugins para reduzir a janela de exposição a problemas futuros.