文章总结： 黑客正利用WordPress插件BurstStatistics的认证绕过漏洞CVE-2026-8181发动攻击，该漏洞允许未认证攻击者冒充管理员或创建恶意管理员账户。漏洞影响3.4.0-3.4.1版本，已导致7400+次攻击。建议用户立即升级到3.4.2版本或禁用插件以防范权限接管风险。 综合评分： 85 文章分类： 漏洞分析,威胁情报,WEB安全,安全运营,漏洞预警

【安全圈】黑客利用 Burst Statistics WordPress 插件认证绕过漏洞发动攻击

安全圈

2026年5月17日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

黑客正在利用 WordPress 插件 Burst Statistics 中的一个严重认证绕过漏洞，获取网站的管理员级别访问权限。

Burst Statistics 是一款注重隐私的分析插件，在 20 万个 WordPress 网站上启用，被宣传为谷歌分析的轻量级替代方案。

该漏洞编号为 CVE – 2026 – 8181，于 4 月 23 日插件 3.4.0 版本发布时引入。在后续的 3.4.1 版本中，该漏洞代码依然存在。

5 月 8 日发现 CVE – 2026 – 8181 漏洞的 Wordfence 公司表示，该漏洞使得未经认证的攻击者在进行 REST API 请求时，能够冒充已知的管理员用户，甚至创建恶意管理员账户。

Wordfence 解释称：“此漏洞允许知晓有效管理员用户名的未经认证攻击者，在任何 REST API 请求期间，通过在基本认证头中提供任意错误密码，完全冒充该管理员，包括对 WordPress 核心端点（如 /wp – json/wp/v2/users）的请求。”

“在最糟糕的情况下，攻击者无需任何事先认证，就能利用此漏洞创建一个新的管理员级别账户。”

其根本原因在于对‘wp_authenticate_application_password ()’函数结果的错误解读，具体来说，就是将‘WP_Error’错误当作认证成功的标志。

然而，研究人员解释称，在某些情况下，WordPress 也可能返回‘null’，而这也被错误地当作已认证的请求。

结果，代码会使用攻击者提供的用户名调用‘wp_set_current_user ()’函数，从而在 REST API 请求期间有效地冒充该用户。

管理员用户名可能会在博客文章、评论中暴露，甚至在公共 API 请求中也能获取，攻击者也可以使用暴力破解技术来猜测用户名。

获得管理员级别访问权限后，攻击者可以访问私人数据库、植入后门、将访问者重定向到不安全的位置、分发恶意软件、创建恶意管理员用户等等。

虽然 Wordfence 在其发布的内容中警告称，“预计此漏洞将成为攻击者的目标，因此尽快更新到最新版本至关重要”，但其追踪数据显示，恶意活动已然开始。

同一平台的数据显示，这家网站安全公司在过去 24 小时内已阻止了超过 7400 次针对 CVE – 2026 – 8181 的攻击，可见此类攻击活动相当猖獗。

建议 Burst Statistics 插件的用户升级到 2026 年 5 月 12 日发布的已修复版本 3.4.2，或者在其网站上禁用该插件。

WordPress.org的统计数据显示，自 3.4.2 版本发布以来，Burst Statistics 已有 8.5 万次下载。假设所有下载的都是最新版本，那么仍有约 11.5 万个网站面临管理员权限被接管的攻击风险。

END

阅读推荐

【安全圈】Linux内核漏洞”ssh-keysign-pwn”允许攻击者窃取SSH密钥与影子密码文件

【安全圈】微软 Edge 148 浏览器将增强安全，密码不再明文进入内存

【安全圈】微软Exchange Server高危漏洞正遭攻击者积极利用

【安全圈】新型远程控制木马被披露，黑客伪造苹果与雅虎 CDN 域名攻击

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客利用 Burst Statistics WordPress 插件认证绕过漏洞发动攻击》