https://brdefense.center/tags/cve-2026-8181/Recent content in Cve-2026-8181 on BR Defense CenterHugopt-brThu, 14 May 2026 19:46:05 -0300https://brdefense.center/news/vulnerabilidade-critica-no-plugin-burst-statistics/Thu, 14 May 2026 19:46:05 -0300https://brdefense.center/news/vulnerabilidade-critica-no-plugin-burst-statistics/<p>Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação no plugin Burst Statistics do WordPress, que permite acesso administrativo a sites. Este plugin, focado em privacidade, está ativo em aproximadamente 200 mil sites WordPress e é uma alternativa leve ao Google Analytics. A falha, identificada como CVE-2026-8181, foi introduzida na versão 3.4.0 do plugin, lançada em 23 de abril, e também está presente na versão 3.4.1. A vulnerabilidade permite que atacantes não autenticados se façam passar por usuários administradores conhecidos durante requisições da API REST, podendo até criar contas de administrador fraudulentas. O problema decorre da interpretação incorreta dos resultados da função &lsquo;wp_authenticate_application_password()&rsquo;, que trata um erro como uma autenticação bem-sucedida. A Wordfence, que descobriu a falha, já bloqueou mais de 7.400 tentativas de ataque em 24 horas. Os usuários do plugin são aconselhados a atualizar para a versão 3.4.2 ou desativar o plugin, pois cerca de 115 mil sites ainda estão vulneráveis a ataques de tomada de conta administrativa.</p>