O vulnerabilitate critică într-un plugin WordPress utilizat pe scară largă a expus peste 200.000 de site-uri web la preluarea completă a conturilor, ridicând preocupări urgente în întreaga comunitate de securitate.
Descoperită pe 8 mai 2026 de platforma de informații despre amenințări PRISM, bazată pe inteligență artificială, de la Wordfence, eroarea afectează pluginul Burst Statistics, un instrument de analiză axat pe confidențialitate. Urmărită ca CVE-2026-8181 cu un scor CVSS de 9.8, vulnerabilitatea permite atacatorilor neautentificați să ocolească autentificarea și să se prefacă drept conturi de administrator. Problema afectează versiunile 3.4.0 până la 3.4.1.1 și a fost introdusă pe 23 aprilie 2026. Este de remarcat faptul că a fost identificată în doar 15 zile și corectată 19 zile mai târziu, evidențiind modul în care descoperirea vulnerabilităților bazată pe inteligență artificială reduce fereastra de exploatare.
Vulnerabilitate Plugin WordPress Ocolire Autentificare
Vulnerabilitatea provine din validarea incorectă din integrarea MainWP a pluginului, în special în cadrul funcției is_mainwp_authenticated(). Această funcție procesează cererile de autentificare prin antetul HTTP Authorization, dar nu reușește să verifice validitatea acreditărilor.
Datorită gestionării nesigure a valorii returnate, pluginul tratează orice răspuns non-eroare de la funcția wp_authenticate_application_password() a WordPress ca autentificare reușită. În anumite cazuri, această funcție returnează nul în loc de o eroare atunci când autentificarea eșuează, permițând trecerea cererilor malițioase fără verificare.
Un atacator poate exploata această eroare trimițând o cerere API REST artizanală cu un nume de utilizator administrator valid și orice parolă arbitrară codificată într-un antet Basic Authentication. Pluginul setează apoi contextul utilizatorului curent către administratorul vizat, acordând efectiv privilegii depline pe durata cererii.
Exploatarea cu succes permite atacatorilor să efectueze acțiuni cu privilegii înalte fără autentificare prealabilă. De exemplu, o singură cerere către endpoint-ul /wp-json/wp/v2/users ar putea crea un nou cont de administrator, permițând acces persistent și compromiterea completă a site-ului.
Deoarece vulnerabilitatea afectează toate endpoint-urile API REST, atacatorii pot abuza de funcționalitatea de bază WordPress dincolo de pluginul în sine, crescând semnificativ suprafața de atac.
Patch și atenuare
Echipa Burst Statistics a răspuns rapid după divulgare. Wordfence a inițiat divulgarea responsabilă pe 8 mai, a partajat detalii complete pe 11 mai, iar furnizorul a lansat o versiune corectată (3.4.2) pe 12 mai 2026. Utilizatorii sunt sfătuiți cu tărie să actualizeze imediat la versiunea 3.4.2 sau mai recentă pentru a atenua riscul.
Clienții Wordfence care utilizează nivelurile Premium, Care sau Response au primit protecție firewall pe 8 mai, în timp ce utilizatorii gratuiti urmează să primească aceeași protecție pe 7 iunie 2026. Experții în securitate avertizează că simplitatea exploatării și lipsa autentificării fac această vulnerabilitate extrem de atractivă pentru actorii rău intenționați. Administratorii ar trebui să auditeze conturile de utilizator, să monitorizeze jurnalele și să asigure corectarea imediată pentru a preveni compromiterea.