Hackers exploram falha crítica no plugin Burst Statistics e tomam controle de sites WordPress

Uma falha crítica de bypass de autenticação no plugin Burst Statistics — usado em mais de 200 mil sites WordPress — está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-8181, permite a invasores não autenticados se passarem por administradores e até criar contas admin maliciosas. A Wordfence já bloqueou mais de 7.400 ataques em apenas 24 horas.

O que é o Burst Statistics

O Burst Statistics é um plugin de analytics focado em privacidade, ativo em cerca de 200.000 sites WordPress, comercializado como uma alternativa leve ao Google Analytics. Por não enviar dados a servidores externos, ganhou tração em sites preocupados com LGPD e GDPR.

Detalhes da vulnerabilidade

A falha, rastreada como CVE-2026-8181, foi introduzida em 23 de abril de 2026 com o lançamento da versão 3.4.0 do plugin. O código vulnerável também esteve presente na iteração seguinte, a versão 3.4.1.

Segundo a Wordfence, que descobriu a brecha em 8 de maio, a falha permite que atacantes não autenticados se passem por administradores conhecidos durante requisições à REST API, e até criem contas de administrador clandestinas.

“Esta vulnerabilidade permite que atacantes não autenticados — que conheçam um nome de usuário administrador válido — se passem totalmente por esse administrador durante a duração de qualquer requisição à REST API, incluindo endpoints centrais do WordPress como /wp-json/wp/v2/users, fornecendo qualquer senha arbitrária e incorreta.” — Wordfence

O problema técnico, em essência, é que o código chama a função wp_set_current_user() usando o nome de usuário enviado pelo atacante, efetivamente personificando esse usuário durante toda a requisição — sem nunca validar a senha.

Como os invasores descobrem os usernames

Nomes de usuário de administradores frequentemente vazam em locais públicos de um site WordPress: assinaturas de posts, comentários, ou até em respostas da própria REST API. Quando não, os atacantes recorrem a técnicas de brute-force e username enumeration para descobrir o login antes de explorar a falha.

O que um invasor pode fazer com acesso admin

• Acessar bancos de dados privados (incluindo dados de usuários e comentários)
• Implantar backdoors persistentes (plugins maliciosos, modificação de tema, web shells)
• Redirecionar visitantes para locais inseguros (campanhas de phishing, golpes)
• Distribuir malware via injeção em páginas ou downloads
• Criar usuários administradores fantasmas para reentrar mesmo após a correção
• Roubar credenciais armazenadas (API keys, tokens de integração)

Exploração em massa já começou

Apesar do alerta da Wordfence — que afirmou esperar que “esta vulnerabilidade fosse alvo de atacantes” e classificou a atualização como “crítica” — o rastreador da empresa mostra que a atividade maliciosa já está em pleno andamento.

De acordo com a Wordfence, foram bloqueados mais de 7.400 ataques contra a CVE-2026-8181 nas últimas 24 horas — um volume que indica varredura automatizada em larga escala da internet em busca de instalações vulneráveis.

O que fazer agora

Usuários do plugin Burst Statistics devem atualizar imediatamente para a versão 3.4.2, lançada em 12 de maio de 2026 — ou, se a atualização não for possível, desabilitar o plugin enquanto investigam.

Estatísticas do WordPress.org mostram que o Burst Statistics teve cerca de 85.000 downloads desde o lançamento da versão 3.4.2. Mesmo assumindo que todos foram para a versão corrigida, restam aproximadamente 115.000 sites ainda expostos a ataques de takeover administrativo.

Análise: o padrão das falhas em plugins WordPress

A CVE-2026-8181 é mais um capítulo da história recorrente de falhas em plugins WordPress: boa intenção, implementação apressada de REST endpoints, e o pecado clássico de confiar em parâmetros enviados pelo cliente. Plugins de analytics e segurança são especialmente sensíveis porque costumam adicionar endpoints REST customizados com lógica de autenticação própria — onde uma única linha mal escrita derruba todo o modelo de permissões do WordPress.

Para administradores de sites WordPress, a recomendação geral vai além desta vulnerabilidade específica:

• Mantenha plugins e temas atualizados automaticamente sempre que possível
• Use uma WAF (Wordfence, Sucuri, Cloudflare) com regras de proteção em tempo real para plugins
• Limite o acesso à REST API de /wp-json/wp/v2/users via firewall ou plugin de hardening
• Não use nomes de usuário previsíveis como “admin” para contas administrativas
• Habilite autenticação de dois fatores (2FA) em todas as contas de administrador
• Monitore logs em busca de criação de novos usuários administradores

Fonte: BleepingComputer