Критична уразливість обходу автентифікації в плагіні Burst Statistics для WordPress

Обхід автентифікації в плагіні Burst Statistics для WordPress дозволяє зловмисникам отримати права адміністратора. Рекомендується оновлення та перевірка безпеки.
CVE-2026-8181CVSS 9.8CMS

Критична уразливість обходу автентифікації в плагіні Burst Statistics для WordPress

Обхід автентифікації в плагіні Burst Statistics для WordPress дозволяє зловмисникам отримати права адміністратора. Рекомендується оновлення та перевірка безпеки.

CVSS
9.8 CRITICAL
EPSS
96.23%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У плагіні Burst Statistics – Privacy-Friendly WordPress Analytics (версії 3.4.0 до 3.4.1.1) виявлено критичну уразливість обходу автентифікації через неправильну обробку функції is_mainwp_authenticated(). Зловмисники можуть імітувати адміністратора, маючи лише його ім'я користувача, що призводить до підвищення привілеїв.

Бізнес-вплив

Ця уразливість дозволяє неавторизованим користувачам отримати права адміністратора на сайті WordPress, що може призвести до повного контролю над ресурсом, витоку даних або порушення роботи сервісу. Власникам інфраструктури слід розглядати цю загрозу як критичну і пріоритетно вживати заходів для захисту.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень плагіна Burst Statistics від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до адміністративної панелі, переглянути журнали доступу на предмет підозрілої активності та знизити експозицію сайту в мережі. Важливо також інформувати команду безпеки та планувати швидке оновлення при появі патчів.

Джерела