Vulnerabilidad crítica en Burst Statistics para WordPress
Se ha publicado una vulnerabilidad crítica que afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress, identificada como CVE-2026-8181. El fallo permite a un atacante no autenticado suplantar a un usuario administrador durante peticiones a la API REST de WordPress, siempre que conozca un nombre de usuario administrador válido.
Burst Statistics es un plugin de analítica web orientado a la privacidad que cuenta con más de 200.000 instalaciones activas, por lo que el impacto potencial de esta vulnerabilidad es elevado. La vulnerabilidad afecta a las versiones 3.4.0, 3.4.1 y 3.4.1.1, y ha sido corregida en la versión 3.4.2, publicada el 12 de mayo de 2026.
El riesgo es especialmente relevante porque la explotación no requiere autenticación previa. En el peor de los casos, un atacante podría llegar a crear una nueva cuenta con privilegios de administrador mediante una petición a la API REST de WordPress.
Además, se ha informado de explotación activa de la vulnerabilidad. Según la información publicada, Wordfence ha observado miles de intentos de explotación, incluyendo más de 7.400 ataques bloqueados en un periodo de 24 horas. Aunque existe una versión corregida, una parte significativa de los sitios que utilizan el plugin podrían seguir expuestos si no han aplicado la actualización.
Análisis
La vulnerabilidad CVE-2026-8181 afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress.
El fallo se debe a una validación incorrecta de los resultados devueltos por la función wp_authenticate_application_password() durante el tratamiento de cabeceras de autenticación Basic en peticiones REST. En determinadas condiciones, el plugin interpreta como válida una autenticación fallida o nula y establece como usuario actual el usuario indicado en la petición mediante la función wp_set_current_user().
Como consecuencia, un atacante no autenticado que conozca o pueda adivinar un nombre de usuario administrador válido podría suplantar a dicho usuario durante la duración de una petición REST. Esto puede afectar a endpoints propios de WordPress, como /wp-json/wp/v2/users, y permitir acciones críticas, incluyendo la creación de nuevas cuentas con permisos de administrador.
La vulnerabilidad fue introducida el 23 de abril de 2026 con la versión 3.4.0 del plugin, descubierta por Wordfence el 8 de mayo de 2026 y corregida el 12 de mayo de 2026 con la publicación de la versión 3.4.2.
El riesgo se considera crítico debido a que:
no requiere autenticación previa;
basta con conocer o adivinar un nombre de usuario administrador válido;
permite suplantar a un administrador durante peticiones REST;
puede permitir la creación de nuevas cuentas administradoras;
afecta a un plugin con más de 200.000 instalaciones activas;
se ha informado de explotación activa.
En conjunto, esta vulnerabilidad puede permitir:
toma de control del sitio WordPress;
creación de usuarios administradores no autorizados;
acceso a información privada o sensible;
instalación de malware, puertas traseras o plugins maliciosos;
modificación de contenidos del sitio web;
redirección de usuarios a páginas maliciosas;
uso del sitio comprometido como infraestructura para campañas fraudulentas.
Aunque existe una versión corregida, la explotación activa hace recomendable revisar y aplicar la actualización con carácter urgente en cualquier instalación WordPress que utilice el plugin afectado.
Recursos afectados
La vulnerabilidad afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress.
Las versiones afectadas son:
Burst Statistics 3.4.0
Burst Statistics 3.4.1
Burst Statistics 3.4.1.1
La versión corregida es:
Burst Statistics 3.4.2 o superior
Se recomienda revisar especialmente sitios WordPress expuestos a Internet o entornos donde no exista visibilidad completa sobre los plugins instalados.
En la revisión inicial de tecnologías se ha identificado presencia de WordPress en los siguientes entornos:
WordPress CSIRT-CV
https://csirtcv.gva.es/actualidad/
Sanidad
Educación
https://portal.edu.gva.es/portal/va/inici/
En el entorno de Botiga no se ha identificado afectación en la revisión inicial.
Dado que se trata de una vulnerabilidad en un plugin de WordPress y no se dispone de visibilidad completa sobre todos los plugins instalados, se recomienda notificar a los responsables de los entornos donde se haya identificado presencia de WordPress para que verifiquen si utilizan Burst Statistics y, en caso afirmativo, apliquen la actualización o desactiven el plugin.
Recomendaciones
Se recomienda revisar de forma urgente todos los sitios WordPress gestionados y comprobar si tienen instalado el plugin Burst Statistics.
En caso de disponer del plugin afectado, se recomienda actualizar inmediatamente a la versión 3.4.2 o superior. Si no fuera posible aplicar la actualización de forma inmediata, se recomienda desactivar temporalmente el plugin hasta poder corregir la vulnerabilidad.
Además, se recomienda revisar si existen cuentas administradoras creadas recientemente o sin justificación, así como comprobar los usuarios con privilegios elevados en WordPress. También es conveniente analizar accesos recientes a la API REST de WordPress, especialmente peticiones dirigidas a /wp-json/wp/v2/users.
En entornos corporativos, se recomienda revisar registros de autenticación, cambios de usuarios, instalación de plugins, modificaciones de contenido, temas instalados, ficheros no autorizados y tareas programadas sospechosas.
También se recomienda limitar el acceso a la administración de WordPress desde redes autorizadas cuando sea posible, mantener WordPress, plugins y temas actualizados, e implementar o revisar reglas WAF/EDR disponibles para bloquear intentos de explotación.
Debido a que se ha informado de explotación activa, esta vulnerabilidad debe tratarse con prioridad crítica, especialmente en sitios WordPress expuestos a Internet.
Referencias
[2] BleepingComputer – Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin