Burst Statistics — плагин аналитики с акцентом на приватность, который используется примерно на 200 000 сайтов WordPress. Он позиционируется как более лёгкая альтернатива Google Analytics, поэтому проблема затрагивает не нишевый инструмент, а массово установленное решение для владельцев сайтов.
Уязвимость отслеживается как CVE-2026-8181. По данным Wordfence, проблема появилась в версии Burst Statistics 3.4.0, выпущенной 23 апреля 2026 года, и сохранилась в версии 3.4.1.
Исправление вышло только в версии 3.4.2 от 12 мая 2026 года.
Атака связана с REST API WordPress. Если злоумышленник знает валидное имя администратора, он может выдать себя за этого пользователя во время запроса, в том числе при обращении к системным конечным точкам WordPress, например /wp-json/wp/v2/users.
В худшем сценарии уязвимость позволяет создать новый аккаунт администратора без предварительной аутентификации. Это даёт атакующему полный контроль над сайтом: доступ к приватным данным, возможность установить бэкдор, перенаправлять посетителей, размещать вредоносный код или создавать дополнительные учётные записи.
Техническая причина ошибки связана с неправильной обработкой результата функции wp_authenticate_application_password(). В определённых случаях код воспринимал ошибочный или пустой результат как успешную аутентификацию, после чего вызывал wp_set_current_user() с именем пользователя, переданным атакующим.
Имена администраторов часто можно найти в записях блога, комментариях или через публичные API-запросы. Кроме того, злоумышленники могут подбирать такие имена перебором, что делает уязвимость особенно опасной для сайтов с типовой конфигурацией и слабо защищённой структурой учётных записей.
Wordfence предупредила, что CVE-2026-8181 может стать одной из главных целей для атакующих. Компания уже зафиксировала более 7400 заблокированных атак за последние 24 часа, что указывает на активную эксплуатацию уязвимости.
Пользователям Burst Statistics рекомендуется немедленно обновить плагин до версии 3.4.2 или временно отключить его. С момента выхода исправления плагин скачали 85 000 раз, однако при общей базе в 200 000 установок потенциально уязвимыми могут оставаться около 115 000 сайтов. Эта оценка приблизительная: загрузки не всегда означают обновление активного сайта.
Ситуация снова показывает, насколько критичны обновления расширений WordPress. Ранее похожие риски уже возникали в других популярных инструментах, включая уязвимости WordPress-плагинов и проблемы в SEO-расширениях вроде All in One SEO. Владельцам сайтов стоит регулярно проверять установленные расширения, особенно если они отвечают за аналитику, авторизацию или доступ к данным.
Для администраторов WordPress это также повод пересмотреть набор активных расширений. Даже полезные инструменты из категории плагинов для WordPress могут стать точкой входа для атаки, если обновления устанавливаются с задержкой.