🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão aproveitando uma vulnerabilidade crítica de desvio de autenticação no plugin Burst Statistics do WordPress para obter acesso de administrador a sites.
Burst Statistics é um plugin analítico com foco na privacidade, ativo em 200.000 sites WordPress e comercializado como uma alternativa leve ao Google Analytics.
A falha, rastreada como CVE-2026-8181, foi introduzida em 23 de abril com o lançamento da versão 3.4.0 do plugin. O código vulnerável também esteve presente na iteração seguinte, versão 3.4.1.
De acordo com o Wordfence, que descobriu o CVE-2026-8181 em 8 de maio, a falha permite que invasores não autenticados se façam passar por usuários administradores conhecidos durante solicitações de API REST e até mesmo criem contas de administradores não autorizados.
“Esta vulnerabilidade permite que invasores não autenticados que conhecem um nome de usuário de administrador válido se façam passar por esse administrador durante qualquer solicitação de API REST, incluindo endpoints principais do WordPress, como /wp-json/wp/v2/users, fornecendo qualquer senha arbitrária e incorreta em um cabeçalho de autenticação básica”, explica Wordfence.
“Na pior das hipóteses, um invasor poderia explorar essa falha para criar uma nova conta de nível de administrador sem qualquer tipo de autenticação prévia.”
A causa raiz é a interpretação incorreta dos resultados da função ‘wp_authenticate_application_password()’, especificamente, tratar um ‘WP_Error’ como uma indicação de autenticação bem-sucedida.
No entanto, os pesquisadores explicam que o WordPress também pode retornar ‘nulo’ em alguns casos, o que é erroneamente tratado como uma solicitação autenticada.
Como resultado, o código chama ‘wp_set_current_user()’ com o nome de usuário fornecido pelo invasor, representando efetivamente esse usuário durante a solicitação da API REST.
Os nomes de usuário dos administradores podem ser expostos em postagens de blogs, comentários ou até mesmo em solicitações públicas de API, mas os invasores também podem usar técnicas de força bruta para adivinhá-los.
O acesso em nível de administrador permite que invasores acessem bancos de dados privados, plantem backdoors, redirecionem visitantes para locais inseguros, distribuam malware, criem usuários administradores desonestos e muito mais.
Embora o Wordfence tenha alertado em sua postagem que “esperam que esta vulnerabilidade seja alvo de invasores e, como tal, atualizar para a versão mais recente o mais rápido possível é fundamental”, seu rastreador mostra que atividades maliciosas já começaram.
De acordo com a mesma plataforma, a empresa de segurança de sites bloqueou mais de 7.400 ataques direcionados ao CVE-2026-8181 nas últimas 24 horas, portanto a atividade é significativa.
Recomenda-se que os usuários do plug-in Burst Statistics atualizem para a versão corrigida, versão 3.4.2, lançada em 12 de maio de 2026, ou desativem o plug-in em seus sites.
As estatísticas do WordPress.org mostram que o Burst Statistics teve 85.000 downloads desde o lançamento do 3.4.2, portanto, supondo que todos fossem da versão mais recente, restam cerca de 115.000 sites expostos a ataques de controle de administrador.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Burst Statistics é um plugin analítico com foco na privacidade, ativo em 200.000 sites WordPress e comercializado como uma alternativa leve ao Google Analytics.
A falha, rastreada como CVE-2026-8181, foi introduzida em 23 de abril com o lançamento da versão 3.4.0 do plugin. O código vulnerável também esteve presente na iteração seguinte, versão 3.4.1.
De acordo com o Wordfence, que descobriu o CVE-2026-8181 em 8 de maio, a falha permite que invasores não autenticados se façam passar por usuários administradores conhecidos durante solicitações de API REST e até mesmo criem contas de administradores não autorizados.
“Esta vulnerabilidade permite que invasores não autenticados que conhecem um nome de usuário de administrador válido se façam passar por esse administrador durante qualquer solicitação de API REST, incluindo endpoints principais do WordPress, como /wp-json/wp/v2/users, fornecendo qualquer senha arbitrária e incorreta em um cabeçalho de autenticação básica”, explica Wordfence.
“Na pior das hipóteses, um invasor poderia explorar essa falha para criar uma nova conta de nível de administrador sem qualquer tipo de autenticação prévia.”
A causa raiz é a interpretação incorreta dos resultados da função ‘wp_authenticate_application_password()’, especificamente, tratar um ‘WP_Error’ como uma indicação de autenticação bem-sucedida.
No entanto, os pesquisadores explicam que o WordPress também pode retornar ‘nulo’ em alguns casos, o que é erroneamente tratado como uma solicitação autenticada.
Como resultado, o código chama ‘wp_set_current_user()’ com o nome de usuário fornecido pelo invasor, representando efetivamente esse usuário durante a solicitação da API REST.
Os nomes de usuário dos administradores podem ser expostos em postagens de blogs, comentários ou até mesmo em solicitações públicas de API, mas os invasores também podem usar técnicas de força bruta para adivinhá-los.
O acesso em nível de administrador permite que invasores acessem bancos de dados privados, plantem backdoors, redirecionem visitantes para locais inseguros, distribuam malware, criem usuários administradores desonestos e muito mais.
Embora o Wordfence tenha alertado em sua postagem que “esperam que esta vulnerabilidade seja alvo de invasores e, como tal, atualizar para a versão mais recente o mais rápido possível é fundamental”, seu rastreador mostra que atividades maliciosas já começaram.
De acordo com a mesma plataforma, a empresa de segurança de sites bloqueou mais de 7.400 ataques direcionados ao CVE-2026-8181 nas últimas 24 horas, portanto a atividade é significativa.
Recomenda-se que os usuários do plug-in Burst Statistics atualizem para a versão corrigida, versão 3.4.2, lançada em 12 de maio de 2026, ou desativem o plug-in em seus sites.
As estatísticas do WordPress.org mostram que o Burst Statistics teve 85.000 downloads desde o lançamento do 3.4.2, portanto, supondo que todos fossem da versão mais recente, restam cerca de 115.000 sites expostos a ataques de controle de administrador.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #hackers #exploram #falha #de #desvio #de #autenticação #no #plugin #burst #statistics #wordpress
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário