- 26,777
- 46
- 8 Ноя 2022
Популярный плагин с 200 тыс. установок внезапно превратился в слабое место в защите сайта.
Сайты на WordPress снова оказались под ударом из-за ошибки в популярном расширении. На этот раз злоумышленники нацелились на Burst Statistics — плагин аналитики, который используют около 200 тыс. ресурсов. Уязвимость позволяет получить права администратора без входа в учётную запись, а значит, владельцы сайтов рискуют потерять контроль над своими проектами.
Проблема получила идентификатор CVE-2026-8181 . По данным Wordfence, уязвимость появилась 23 апреля вместе с версией Burst Statistics 3.4.0 и сохранилась в версии 3.4.1. Специалисты обнаружили ошибку 8 мая, а уже после публикации сведений о проблеме начались активные атаки.
Сбой связан с неправильной обработкой результата функции wp_authenticate_application_password(). Код ошибочно принимал некоторые ответы WordPress за успешную проверку, после чего назначал текущим пользователем имя, переданное атакующим. В результате злоумышленник мог временно выдать себя за известного администратора во время REST API-запроса, даже указав неверный пароль.
Хотя для успешной атаки нужно знать имя администратора — такие данные часто встречаются в публикациях, комментариях или открытых API-запросах, а при необходимости подбираются перебором. После обхода проверки злоумышленник может создать новую учётную запись с правами администратора, получить доступ к закрытым данным, внедрить бэкдор, перенаправлять посетителей на опасные страницы или распространять вредоносный код через взломанный сайт.
Wordfence сообщает, что за последние сутки заблокировала более 7400 попыток эксплуатации CVE-2026-8181. Масштаб атак показывает, что проблема уже перешла из теории в практику.
Разработчики выпустили исправленную версию Burst Statistics 3.4.2 12 мая 2026 года. Владельцам сайтов рекомендуется срочно обновить расширение или временно отключить его. По статистике WordPress.org, после выхода версии 3.4.2 плагин скачали около 85 тыс. раз. Даже если все загрузки пришлись на безопасный релиз, примерно 115 тыс. сайтов всё ещё могут оставаться уязвимыми для захвата администраторского доступа.
Сайты на WordPress снова оказались под ударом из-за ошибки в популярном расширении. На этот раз злоумышленники нацелились на Burst Statistics — плагин аналитики, который используют около 200 тыс. ресурсов. Уязвимость позволяет получить права администратора без входа в учётную запись, а значит, владельцы сайтов рискуют потерять контроль над своими проектами.
Проблема получила идентификатор CVE-2026-8181 . По данным Wordfence, уязвимость появилась 23 апреля вместе с версией Burst Statistics 3.4.0 и сохранилась в версии 3.4.1. Специалисты обнаружили ошибку 8 мая, а уже после публикации сведений о проблеме начались активные атаки.
Сбой связан с неправильной обработкой результата функции wp_authenticate_application_password(). Код ошибочно принимал некоторые ответы WordPress за успешную проверку, после чего назначал текущим пользователем имя, переданное атакующим. В результате злоумышленник мог временно выдать себя за известного администратора во время REST API-запроса, даже указав неверный пароль.
Хотя для успешной атаки нужно знать имя администратора — такие данные часто встречаются в публикациях, комментариях или открытых API-запросах, а при необходимости подбираются перебором. После обхода проверки злоумышленник может создать новую учётную запись с правами администратора, получить доступ к закрытым данным, внедрить бэкдор, перенаправлять посетителей на опасные страницы или распространять вредоносный код через взломанный сайт.
Wordfence сообщает, что за последние сутки заблокировала более 7400 попыток эксплуатации CVE-2026-8181. Масштаб атак показывает, что проблема уже перешла из теории в практику.
Разработчики выпустили исправленную версию Burst Statistics 3.4.2 12 мая 2026 года. Владельцам сайтов рекомендуется срочно обновить расширение или временно отключить его. По статистике WordPress.org, после выхода версии 3.4.2 плагин скачали около 85 тыс. раз. Даже если все загрузки пришлись на безопасный релиз, примерно 115 тыс. сайтов всё ещё могут оставаться уязвимыми для захвата администраторского доступа.
- Источник новости
- www.securitylab.ru
