Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação no plugin Burst Statistics do WordPress, que permite acesso administrativo a sites. Este plugin, focado em privacidade, está ativo em aproximadamente 200 mil sites WordPress e é uma alternativa leve ao Google Analytics. A falha, identificada como CVE-2026-8181, foi introduzida na versão 3.4.0 do plugin, lançada em 23 de abril, e também está presente na versão 3.4.1. A vulnerabilidade permite que atacantes não autenticados se façam passar por usuários administradores conhecidos durante requisições da API REST, podendo até criar contas de administrador fraudulentas. O problema decorre da interpretação incorreta dos resultados da função ‘wp_authenticate_application_password()’, que trata um erro como uma autenticação bem-sucedida. A Wordfence, que descobriu a falha, já bloqueou mais de 7.400 tentativas de ataque em 24 horas. Os usuários do plugin são aconselhados a atualizar para a versão 3.4.2 ou desativar o plugin, pois cerca de 115 mil sites ainda estão vulneráveis a ataques de tomada de conta administrativa.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-auth-bypass-flaw-in-burst-statistics-wordpress-plugin/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
14/05/2026 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica no plugin Burst Statistics do WordPress
RESUMO EXECUTIVO
A vulnerabilidade CVE-2026-8181 no plugin Burst Statistics do WordPress permite que atacantes não autenticados se façam passar por administradores, comprometendo a segurança de aproximadamente 200 mil sites. A exploração ativa já resultou em milhares de tentativas de ataque, destacando a urgência de atualização ou desativação do plugin para evitar consequências graves.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e danos à reputação.
Operacional
Acesso não autorizado a dados privados e criação de contas administrativas fraudulentas.
Setores vulneráveis
['Setores que utilizam WordPress para gestão de conteúdo e análise de dados.']
📊 INDICADORES CHAVE
200.000 sites WordPress ativos com o plugin Burst Statistics.
Indicador
Mais de 7.400 ataques bloqueados em 24 horas.
Contexto BR
Cerca de 115.000 sites ainda vulneráveis após o lançamento do patch.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o plugin Burst Statistics está instalado e qual versão está em uso.
2
Atualizar para a versão 3.4.2 ou desativar o plugin imediatamente.
3
Monitorar logs de acesso e tentativas de login para identificar atividades suspeitas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de acesso não autorizado a dados sensíveis e a criação de contas administrativas fraudulentas, que podem comprometer a segurança da informação.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD, especialmente no que diz respeito à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
