Krytyczna luka uwierzytelniania w wtyczce Burst Statistics dla WordPress

Krytyczna luka w wtyczce Burst Statistics dla WordPress pozwala na obejście uwierzytelniania i eskalację uprawnień administratora. Zalecane szybkie aktualizacje.
CVE-2026-8181CVSS 9.8CMS

Krytyczna luka uwierzytelniania w wtyczce Burst Statistics dla WordPress

Krytyczna luka w wtyczce Burst Statistics dla WordPress pozwala na obejście uwierzytelniania i eskalację uprawnień administratora. Zalecane szybkie aktualizacje.

CVSS
9.8 CRITICAL
EPSS
96.23%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Burst Statistics – Privacy-Friendly WordPress Analytics (alternatywa dla Google Analytics) w wersjach 3.4.0 do 3.4.1.1 posiada krytyczną lukę umożliwiającą obejście uwierzytelniania. Błąd w funkcji is_mainwp_authenticated() pozwala atakującym podszyć się pod administratora, znając jego nazwę użytkownika, bez potrzeby prawidłowego hasła.

Wpływ biznesowy

Luka ta umożliwia nieautoryzowanym osobom eskalację uprawnień do poziomu administratora na czas trwania żądania, co może prowadzić do przejęcia kontroli nad witryną WordPress. Atakujący mogą wykonywać działania administracyjne, co zagraża integralności i bezpieczeństwu danych oraz stabilności infrastruktury IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Burst Statistics i ich zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję serwisu, monitorować logi pod kątem podejrzanych działań oraz priorytetyzować działania naprawcze. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu usunięcia podatności.

Źródła