Hackeři využívají kritickou zranitelnost v doplňku Burst Statistics pro WordPress, která umožňuje obejít autentizaci a získat administrátorský přístup k webovým stránkám.
Burst Statistics je analytický doplněk zaměřený na ochranu soukromí, který využívá přibližně 200 000 webů jako odlehčenou alternativu ke službě Google Analytics.
Chyba, evidovaná pod označením CVE-2026-8181, se do doplňku dostala 23. dubna s vydáním verze 3.4.0. Zranitelný kód obsahovala i následující verze 3.4.1.
Podle společnosti Wordfence, která zranitelnost objevila 8. května, umožňuje tento nedostatek neautorizovaným útočníkům během požadavků na REST API vystupovat za známé administrátory, nebo dokonce vytvářet nové administrátorské účty.
„Tato zranitelnost umožňuje neautorizovaným útočníkům, kteří znají platné uživatelské jméno administrátora, plně se za tohoto správce vydávat po dobu jakéhokoli požadavku na REST API, včetně základních koncových bodů WordPressu, jako je /wp-json/wp/v2/users, a to zadáním libovolného a nesprávného hesla v hlavičce Basic Authentication,“ vysvětluje Wordfence.
„V nejhorším možném případě by útočník mohl tuto chybu zneužít k vytvoření nového uživatelského účtu s úrovní oprávnění administrátora, aniž by předtím prošel jakoukoli autentizací.“
Hlavní příčinou je nesprávná interpretace výsledků funkce „wp_authenticate_application_password()“, konkrétně fakt, že výsledek „WP_Error“ je chybně vyhodnocen jako úspěšná autentizace. Odborníci však upozorňují, že WordPress může v některých případech vrátit hodnotu „null“, kterou kód rovněž mylně považuje za potvrzený požadavek.
V důsledku toho systém zavolá funkci „wp_set_current_user()“ s uživatelským jménem dodaným útočníkem, čímž efektivně dojde k vydávání se za daného uživatele po dobu trvání požadavku na REST API.
Uživatelská jména administrátorů mohou být snadno dohledatelná v příspěvcích na blogu, komentářích nebo veřejných požadavcích API, případně je útočníci mohou zkoušet uhodnout pomocí technik hrubé síly. Administrátorský přístup následně útočníkům umožňuje manipulaci s databázemi, instalaci zadních vrátek (backdoorů), přesměrování návštěvníků na škodlivé weby, šíření malwaru nebo vytváření dalších podvodných účtů.
Přestože společnost Wordfence ve svém příspěvku varovala, že „očekávají, že se tato zranitelnost stane cílem útočníků, a proto je aktualizace na nejnovější verzi co nejdříve kriticky důležitá“, jejich systém sledování potvrzuje, že škodlivá činnost je již v plném proudu. Podle stejné platformy firma blokovala za posledních 24 hodin přes 7 400 útoků zaměřených na CVE-2026-8181.
Uživatelům doplňku Burst Statistics se důrazně doporučuje aktualizovat na opravnou verzi 3.4.2, která byla vydána 12. května 2026, případně doplněk na webu zcela deaktivovat. Statistiky WordPress.org ukazují, že od vydání verze 3.4.2 proběhlo 85 000 stažení. Pokud předpokládáme, že všechna byla pro nejnovější verzi, stále zůstává přibližně 115 000 webů, které jsou vystaveny riziku převzetí účtu administrátora.
Zdroj: bleepingcomputer.com
