Vulnerabilitat crítica en Burst Statistics per a WordPress

S’ha publicat una vulnerabilitat crítica que afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress, identificada com a CVE-2026-8181. La fallada permet a un atacant no autenticat suplantar un usuari administrador durant peticions a l’API REST de WordPress, sempre que conega un nom d’usuari administrador vàlid.

Burst Statistics és un connector d’analítica web orientat a la privacitat que compta amb més de 200.000 instal·lacions actives, per la qual cosa l’impacte potencial d’esta vulnerabilitat és elevat. La vulnerabilitat afecta les versions 3.4.0, 3.4.1 i 3.4.1.1, i ha sigut corregida en la versió 3.4.2, publicada el 12 de maig de 2026.

El risc és especialment rellevant perquè l’explotació no requerix autenticació prèvia. En el pitjor dels casos, un atacant podria arribar a crear un nou compte amb privilegis d’administrador mitjançant una petició a l’API REST de WordPress.

A més, s’ha informat d’explotació activa de la vulnerabilitat. Segons la informació publicada, Wordfence ha observat milers d’intents d’explotació, incloent-hi més de 7.400 atacs bloquejats en un període de 24 hores. Encara que hi ha una versió corregida, una part significativa dels llocs que utilitzen el connector podrien seguir exposats si no han aplicat l’actualització.

Anàlisi

La vulnerabilitat CVE-2026-8181 afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress.

La fallada es deu a una validació incorrecta dels resultats retornats per la funció wp_authenticate_application_password() durant el tractament de capçaleres d’autenticació Basic en peticions REST. En determinades condicions, el connector interpreta com a vàlida una autenticació fallida o nul·la i establix com a usuari actual l’usuari indicat en la petició mitjançant la funció wp_set_current_user().

Com a conseqüència, un atacant no autenticat que conega o puga endevinar un nom d’usuari administrador vàlid podria suplantar-lo durant la duració d’una petició REST. Això pot afectar endpoints propis de WordPress, com /wp-json/wp/v2/users, i permetre accions crítiques, incloent-hi la creació de nous comptes amb permisos d’administrador.

La vulnerabilitat va ser introduïda el 23 d’abril de 2026 amb la versió 3.4.0 del connector, descoberta per Wordfence el 8 de maig de 2026 i corregida el 12 de maig de 2026 amb la publicació de la versió 3.4.2.

El risc es considera crític perquè:

no requerix autenticació prèvia;
n’hi ha prou amb conéixer o endevinar un nom d’usuari administrador vàlid;
permet suplantar a un administrador durant peticions REST;
pot permetre la creació de nous comptes administradors;
afecta un connector amb més de 200.000 instal·lacions actives;
s’ha informat d’explotació activa.

En conjunt, esta vulnerabilitat pot permetre:

presa de control del lloc WordPress;
creació d’usuaris administradors no autoritzats;
accés a informació privada o sensible;
instal·lació de programari maliciós, portes posteriors o connectors maliciosos;
modificació de continguts del lloc web;
redirecció d’usuaris a pàgines malicioses;
ús del lloc compromés com a infraestructura per a campanyes fraudulentes.

Encara que hi ha una versió corregida, l’explotació activa fa recomanable revisar i aplicar l’actualització amb caràcter urgent en qualsevol instal·lació WordPress que utilitze el connector afectat.

Recursos afectats

La vulnerabilitat afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress.

Les versions afectades són:

Burst Statistics 3.4.0
Burst Statistics 3.4.1
Burst Statistics 3.4.1.1

La versió corregida és:

Burst Statistics 3.4.2 o superior

Es recomana revisar especialment llocs WordPress exposats a internet o entorns on no hi haja visibilitat completa sobre els connectors instal·lats.

En la revisió inicial de tecnologies s’ha identificat presència de WordPress en els entorns següents:

WordPress CSIRT-CV
https://csirtcv.gva.es/actualidad/

Sanitat

Educació
https://portal.edu.gva.es/portal/va/inici/

Al voltant de Botiga no s’ha identificat afectació en la revisió inicial.

Atés que es tracta d’una vulnerabilitat en un connector de WordPress i no es disposa de visibilitat completa sobre tots els connectors instal·lats, es recomana notificar als responsables dels entorns on s’haja identificat presència de WordPress perquè verifiquen si utilitzen Burst Statistics i, en cas afirmatiu, apliquen l’actualització o desactiven el connector.

Recomanacions

Es recomana revisar de manera urgent tots els llocs WordPress gestionats i comprovar si tenen instal·lat el connector Burst Statistics.

En cas de disposar del connector afectat, es recomana actualitzar immediatament a la versió 3.4.2 o superior. Si no fora possible aplicar l’actualització de manera immediata, es recomana desactivar temporalment el connector fins a poder corregir la vulnerabilitat.

A més, es recomana revisar si hi ha comptes administradors creats recentment o sense justificació, així com comprovar els usuaris amb privilegis elevats en WordPress. També és convenient analitzar accessos recents a l’API REST de WordPress, especialment peticions dirigides a /wp-json/wp/v2/users.

En entorns corporatius, es recomana revisar registres d’autenticació, canvis d’usuaris, instal·lació de connectors, modificacions de contingut, temes instal·lats, fitxers no autoritzats i tasques programades sospitoses.

També es recomana limitar l’accés a l’administració de WordPress des de xarxes autoritzades quan siga possible, mantindre WordPress, connectors i temes actualitzats, i implementar o revisar regles WAF/EDR disponibles per a bloquejar intents d’explotació.

Pel fet que s’ha informat d’explotació activa, esta vulnerabilitat ha de tractar-se amb prioritat crítica, especialment en llocs WordPress exposats a internet.

Referències

[1] Wordfence – 200,000 WordPress Sites at Risk from Critical Authentication Bypass Vulnerability in Burst Statistics Plugin

[2] BleepingComputer – Hackers exploit auth bypass flaw in Burst Statistics WordPress connector

[3] CVE – CVE-2026-8181

 

Adobe ha publicat actualitzacions de seguretat per a corregir 52 vulnerabilitats que afecten 10 productes del seu ecosistema. Entre els errors corregits s’inclouen vulnerabilitats crítiques i d’alta gravetat que podrien permetre execució de codi arbitrari, escalada de privilegis, denegació de servici, bypass de mesures de seguretat, exposició de memòria o lectura d’arxius.

Més de la mitat de les vulnerabilitats corregides podrien permetre execució de codi arbitrari, i este és l’impacte més rellevant de l’actualització. També s’han corregit múltiples errors que podrien derivar en denegació de servici.

Entre els productes més afectats destaquen Adobe  Commerce,  Content  Authenticity  SDK i Adobe  Connect. En el cas d’Adobe  Connect, s’han corregit dos vulnerabilitats crítiques identificades com a  CVE-2026-34659 i  CVE-2026-34660, amb puntuacions  CVSS de 9.6 i 9.3, respectivament.

Adobe ha indicat que, de moment, no té constància d’explotació activa d’estes vulnerabilitats.

Anàlisi

L’actualització de seguretat publicada per Adobe corregix vulnerabilitats en diferents productes, amb impactes variats en funció del component afectat. Els errors més rellevants podrien permetre l’execució de codi arbitrari, la qual cosa suposa un risc elevat per a equips d’usuari, estacions de treball, servidors o plataformes web que utilitzen productes afectats.

Adobe  Connect –  CVE-2026-34659 i  CVE-2026-34660

Adobe  Connect és un dels productes amb vulnerabilitats més severes en esta actualització.

La vulnerabilitat  CVE-2026-34659 té una puntuació  CVSS de 9.6 i podria permetre l’execució de codi arbitrari. Este tipus de vulnerabilitat pot ser especialment crítica si el sistema afectat està exposat o és utilitzat en entorns corporatius per a comunicacions, reunions o formació en línia.

La vulnerabilitat  CVE-2026-34660 té una puntuació  CVSS de 9.3 i podria permetre una escalada de privilegis. La seua explotació podria facilitar que un atacant eleve els seus permisos dins del sistema o aplicació afectada.

Adobe  Commerce

Adobe  Commerce concentra el nombre més alt de vulnerabilitats corregides en esta actualització. Entre estes s’inclouen 10 vulnerabilitats de gravetat alta i 5 de gravetat mitjana.

Atés que Adobe  Commerce és una plataforma utilitzada per a la gestió de botigues en línia i entorns de comerç electrònic, l’impacte potencial pot ser significatiu. Una explotació exitosa podria afectar la disponibilitat del servici, comprometre informació sensible o facilitar atacs posteriors contra clients, administradors o sistemes integrats.

El pedaç d’Adobe  Commerce ha de considerar-se prioritari, ja que este tipus de plataformes han sigut objectiu recurrent d’atacs en el passat degut a la seua exposició pública i al valor de les dades que gestionen.

 Content  Authenticity  SDK

Adobe també ha corregit 14 vulnerabilitats en  Content  Authenticity  SDK, principalment relacionades amb denegació de servici. Encara que l’impacte principal no està orientat a execució de codi, estos errors podrien afectar la disponibilitat d’aplicacions o servicis que integren dit SDK.

Altres productes afectats

A més d’Adobe  Commerce, Adobe  Connect i  Content  Authenticity  SDK, Adobe ha publicat actualitzacions per a altres productes, entre estos  After  Effects,  Premiere Pro, Media  Encoder,  Illustrator i ferramentes d’Adobe  Substance 3D.

En estos productes s’han corregit vulnerabilitats que podrien permetre execució de codi arbitrari, especialment mitjançant l’obertura o processament d’arxius especialment dissenyats.

En conjunt, estes vulnerabilitats poden permetre:

execució de codi arbitrari;

escalada de privilegis;

denegació de servici;

bypass de mesures de seguretat;

lectura d’arxius;

exposició de memòria;

compromís d’estacions de treball;

compromís d’aplicacions web;

interrupció de servicis.

Recursos afectats

Les vulnerabilitats afecten diferents productes d’Adobe inclosos en l’actualització de seguretat publicada pel fabricant.

Els productes més afectats són:

Adobe  Commerce

Concentra el nombre més alt de vulnerabilitats corregides, i inclou errors de gravetat mitjana i alta.

 Content  Authenticity  SDK

Afectat per 14 vulnerabilitats, principalment relacionades amb denegació de servici.

Adobe Connect

Inclou dos vulnerabilitats crítiques amb puntuacions  CVSS de 9.6 i 9.3.

També es veuen afectats altres productes d’Adobe, i inclou ferramentes d’edició, disseny i processament multimèdia, com:

Adobe  After  Effects;

Adobe  Premiere Pro;

Adobe Mitjana  Encoder;

Adobe Illustrator;

ferramentes Adobe  Substance 3D.

Es recomana revisar especialment entorns amb presència de productes Adobe instal·lats en estacions de treball, servidors, plataformes web, equips de disseny, edició multimèdia, tractament documental o comerç electrònic.

Recomanacions

Es recomana aplicar les actualitzacions de seguretat publicades per Adobe al més prompte possible en tots els productes afectats.

A més, es recomana prioritzar l’actualització d’Adobe  Connect, a causa de les vulnerabilitats crítiques amb puntuacions  CVSS de 9.6 i 9.3, així com Adobe  Commerce, especialment si està exposat a internet o s’utilitza en plataformes de comerç electrònic.

També es recomana actualitzar la resta de productes afectats, i inclou Content  Authenticity  SDK,  After  Effects,  Premiere Pro, Media  Encoder,  Illustrator i ferramentes  Substance 3D.

Fins que s’apliquen els pedaços, es recomana evitar obrir arxius procedents de fonts que no siguen de confiança, especialment documents, projectes o arxius multimèdia que puguen ser processats per productes Adobe afectats.

En entorns corporatius, es recomana comprovar mitjançant inventari quins productes Adobe estan instal·lats, validar que les actualitzacions s’han aplicat correctament i revisar registres d’activitat en Adobe  Commerce i Adobe  Connect a la recerca d’accessos o comportaments anòmals.

Encara que Adobe ha indicat que no hi ha indicis d’explotació activa, la possibilitat d’execució de codi arbitrari i l’existència de vulnerabilitats crítiques fan recomanable aplicar els pedaços amb prioritat alta.

Referències

[1]  SecurityWeek – Adobe  Patches 52  Vulnerabilities  in 10  Products

[2] Adobe –  Security  Bulletins  and  Advisories

[3] Adobe –  Security  update  available  for Adobe  Connect | APSB26-37

[4] Adobe –  Security  Updates  Available  for Adobe  Premiere Pro | APSB26-46

 

Se ha detectado una campaña de estafa que suplanta a la policía, mediante el envío de correos electrónicos fraudulentos con el objetivo de engañar a los usuarios mediante una falsa notificación de un delito de pornografía infantil para que a partir de la notificación estos proporcionen sus datos personales o bancarios para poder pagar la multa que se les imputa.

Este tipo de campañas representa un riesgo significativo y puede conducir al robo de información personal o bancario si la víctima interactúa con ellos.

Análisis

La campaña detectada consiste en el envío de correos electrónicos que simula ser una notificación judicial enviada por la policía en la que le indica al usuario que tiene que pagar una multa ya que sus datos han sido relacionados con delitos de pornografía infantil.

Se han obtenido los siguientes IOCs:

Dirección del remitente

• • • • 08348@khampit.ac.th
      • 08356@khampit.ac.th
      • 08345@khampit.ac.th
      • 08347@khampit.ac.th

Asunto:

• • • • Notificación oficial

Firmado por:

• • • • “Director Adjunto Operativo”

Fichero adjunto llamado:

• • • • “QsP.pdf”

De manera grafica los correos recibidos tienen esta estructura:

                                                     

                                                                       

Una vez se abre el fichero pdf adjunto, se observa la falsa notificación de la policía:

                                         

Recomendaciones

En caso de haber recibido un correo electrónico como el que se describe en este aviso, se recomienda eliminarlo directamente y ponerlo en conocimiento del equipo de IT para que puedan realizar las gestiones de bloqueo pertinentes y del resto de empleados para evitar posibles víctimas.