黑客利用 Burst Statistics WordPress 插件认证绕过漏洞发动攻击

黑客正在利用 WordPress 插件 Burst Statistics 中的一个严重认证绕过漏洞，获取网站的管理员级别访问权限。

Burst Statistics 是一款注重隐私的分析插件，在 20 万个 WordPress 网站上启用，被宣传为谷歌分析的轻量级替代方案。

该漏洞编号为 CVE - 2026 - 8181，于 4 月 23 日插件 3.4.0 版本发布时引入。在后续的 3.4.1 版本中，该漏洞代码依然存在。

5 月 8 日发现 CVE - 2026 - 8181 漏洞的 Wordfence 公司表示，该漏洞使得未经认证的攻击者在进行 REST API 请求时，能够冒充已知的管理员用户，甚至创建恶意管理员账户。

Wordfence 解释称：“此漏洞允许知晓有效管理员用户名的未经认证攻击者，在任何 REST API 请求期间，通过在基本认证头中提供任意错误密码，完全冒充该管理员，包括对 WordPress 核心端点（如 /wp - json/wp/v2/users）的请求。”

“在最糟糕的情况下，攻击者无需任何事先认证，就能利用此漏洞创建一个新的管理员级别账户。”

其根本原因在于对‘wp_authenticate_application_password ()’函数结果的错误解读，具体来说，就是将‘WP_Error’错误当作认证成功的标志。

然而，研究人员解释称，在某些情况下，WordPress 也可能返回‘null’，而这也被错误地当作已认证的请求。

结果，代码会使用攻击者提供的用户名调用‘wp_set_current_user ()’函数，从而在 REST API 请求期间有效地冒充该用户。

管理员用户名可能会在博客文章、评论中暴露，甚至在公共 API 请求中也能获取，攻击者也可以使用暴力破解技术来猜测用户名。

获得管理员级别访问权限后，攻击者可以访问私人数据库、植入后门、将访问者重定向到不安全的位置、分发恶意软件、创建恶意管理员用户等等。

虽然 Wordfence 在其发布的内容中警告称，“预计此漏洞将成为攻击者的目标，因此尽快更新到最新版本至关重要”，但其追踪数据显示，恶意活动已然开始。

同一平台的数据显示，这家网站安全公司在过去 24 小时内已阻止了超过 7400 次针对 CVE - 2026 - 8181 的攻击，可见此类攻击活动相当猖獗。

建议 Burst Statistics 插件的用户升级到 2026 年 5 月 12 日发布的已修复版本 3.4.2，或者在其网站上禁用该插件。

WordPress.org的统计数据显示，自 3.4.2 版本发布以来，Burst Statistics 已有 8.5 万次下载。假设所有下载的都是最新版本，那么仍有约 11.5 万个网站面临管理员权限被接管的攻击风险。