文章总结： WordPress插件BurstStatistics存在高危身份验证绕过漏洞CVE-2026-8181，CVSS评分9.8，影响20万网站。漏洞源于MainWP集成的ismainwpauthenticated函数验证缺陷，攻击者可通过构造RESTAPI请求直接获取管理员权限。受影响版本为3.4.0-3.4.1.1，建议立即升级至3.4.2版本。 综合评分： 88 文章分类： 漏洞分析,WEB安全,应用安全,漏洞预警,安全运营

WordPress插件存在严重漏洞，使网站易受身份验证绕过攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月18日 12:55 北京

在小说阅读器读本章

去阅读

一款广泛使用的WordPress 插件存在严重漏洞，导致超过 20 万个网站面临账户完全被接管的风险，引发了整个安全社区的紧急关注。

该漏洞于 2026 年 5 月 8 日由 Wordfence 的 AI 驱动的 PRISM 威胁情报平台发现，影响 Burst Statistics 插件，这是一个以隐私为中心的分析工具。

该漏洞编号为 CVE-2026-8181，CVSS 评分为 9.8，它允许未经身份验证的攻击者绕过身份验证并冒充管理员账户。

该问题影响 3.4.0 至 3.4.1.1 版本，于 2026 年 4 月 23 日引入。

值得注意的是，该漏洞仅用了 15 天就被发现，并在 19 天后得到修复，这凸显了人工智能驱动的漏洞发现如何缩短了漏洞利用窗口。

WordPress插件身份验证绕过漏洞

该漏洞源于插件的 MainWP 集成中验证不当，具体来说是 is_mainwp_authenticated() 函数中的验证不当。

该函数通过HTTP Authorization 标头处理身份验证请求，但无法验证凭据的有效性。

由于返回值处理不安全，该插件将 WordPress 的 wp_authenticate_application_password() 函数返回的任何非错误响应都视为身份验证成功。

在某些情况下，当身份验证失败时，此函数会返回 null 而不是错误，从而允许恶意请求未经检查地通过。

攻击者可以通过发送精心构造的 REST API 请求来利用此漏洞，该请求包含有效的管理员用户名和任意密码，这些密码以基本身份验证标头的形式编码。

然后，该插件将当前用户上下文设置为目标管理员，从而在请求期间有效地授予其完全权限。

成功利用漏洞后，攻击者无需事先进行身份验证即可执行高权限操作。

例如，向 /wp-json/wp/v2/users 端点发出一个请求即可创建一个新的管理员帐户，从而实现持久访问权限并完全控制网站。

由于该漏洞影响所有 REST API 端点，攻击者可以滥用 WordPress 的核心功能，而不仅仅局限于插件本身，从而大大扩大攻击面。

修补和缓解

Burst Statistics团队在漏洞披露后迅速做出反应。Wordfence于5月8日启动了负责任的披露程序，于5月11日分享了全部细节，供应商于2026年5月12日发布了修复版本（3.4.2）。

强烈建议用户立即更新至 3.4.2 或更高版本，以降低风险。

使用高级版、关怀版或响应版 Wordfence 的客户已于 5 月 8 日获得防火墙保护，而免费用户计划于 2026 年 6 月 7 日获得同样的保护。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《WordPress插件存在严重漏洞，使网站易受身份验证绕过攻击》