Vulnerabilitat crítica en Burst Statistics per a WordPress
S’ha publicat una vulnerabilitat crítica que afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress, identificada com a CVE-2026-8181. La fallada permet a un atacant no autenticat suplantar un usuari administrador durant peticions a l’API REST de WordPress, sempre que conega un nom d’usuari administrador vàlid.
Burst Statistics és un connector d’analítica web orientat a la privacitat que compta amb més de 200.000 instal·lacions actives, per la qual cosa l’impacte potencial d’esta vulnerabilitat és elevat. La vulnerabilitat afecta les versions 3.4.0, 3.4.1 i 3.4.1.1, i ha sigut corregida en la versió 3.4.2, publicada el 12 de maig de 2026.
El risc és especialment rellevant perquè l’explotació no requerix autenticació prèvia. En el pitjor dels casos, un atacant podria arribar a crear un nou compte amb privilegis d’administrador mitjançant una petició a l’API REST de WordPress.
A més, s’ha informat d’explotació activa de la vulnerabilitat. Segons la informació publicada, Wordfence ha observat milers d’intents d’explotació, incloent-hi més de 7.400 atacs bloquejats en un període de 24 hores. Encara que hi ha una versió corregida, una part significativa dels llocs que utilitzen el connector podrien seguir exposats si no han aplicat l’actualització.
Anàlisi
La vulnerabilitat CVE-2026-8181 afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress.
La fallada es deu a una validació incorrecta dels resultats retornats per la funció wp_authenticate_application_password() durant el tractament de capçaleres d’autenticació Basic en peticions REST. En determinades condicions, el connector interpreta com a vàlida una autenticació fallida o nul·la i establix com a usuari actual l’usuari indicat en la petició mitjançant la funció wp_set_current_user().
Com a conseqüència, un atacant no autenticat que conega o puga endevinar un nom d’usuari administrador vàlid podria suplantar-lo durant la duració d’una petició REST. Això pot afectar endpoints propis de WordPress, com /wp-json/wp/v2/users, i permetre accions crítiques, incloent-hi la creació de nous comptes amb permisos d’administrador.
La vulnerabilitat va ser introduïda el 23 d’abril de 2026 amb la versió 3.4.0 del connector, descoberta per Wordfence el 8 de maig de 2026 i corregida el 12 de maig de 2026 amb la publicació de la versió 3.4.2.
El risc es considera crític perquè:
no requerix autenticació prèvia;
n’hi ha prou amb conéixer o endevinar un nom d’usuari administrador vàlid;
permet suplantar a un administrador durant peticions REST;
pot permetre la creació de nous comptes administradors;
afecta un connector amb més de 200.000 instal·lacions actives;
s’ha informat d’explotació activa.
En conjunt, esta vulnerabilitat pot permetre:
presa de control del lloc WordPress;
creació d’usuaris administradors no autoritzats;
accés a informació privada o sensible;
instal·lació de programari maliciós, portes posteriors o connectors maliciosos;
modificació de continguts del lloc web;
redirecció d’usuaris a pàgines malicioses;
ús del lloc compromés com a infraestructura per a campanyes fraudulentes.
Encara que hi ha una versió corregida, l’explotació activa fa recomanable revisar i aplicar l’actualització amb caràcter urgent en qualsevol instal·lació WordPress que utilitze el connector afectat.
Recursos afectats
La vulnerabilitat afecta el connector Burst Statistics – Privacy-Friendly WordPress Analytics per a WordPress.
Les versions afectades són:
Burst Statistics 3.4.0
Burst Statistics 3.4.1
Burst Statistics 3.4.1.1
La versió corregida és:
Burst Statistics 3.4.2 o superior
Es recomana revisar especialment llocs WordPress exposats a internet o entorns on no hi haja visibilitat completa sobre els connectors instal·lats.
En la revisió inicial de tecnologies s’ha identificat presència de WordPress en els entorns següents:
WordPress CSIRT-CV
https://csirtcv.gva.es/actualidad/
Sanitat
Educació
https://portal.edu.gva.es/portal/va/inici/
Al voltant de Botiga no s’ha identificat afectació en la revisió inicial.
Atés que es tracta d’una vulnerabilitat en un connector de WordPress i no es disposa de visibilitat completa sobre tots els connectors instal·lats, es recomana notificar als responsables dels entorns on s’haja identificat presència de WordPress perquè verifiquen si utilitzen Burst Statistics i, en cas afirmatiu, apliquen l’actualització o desactiven el connector.
Recomanacions
Es recomana revisar de manera urgent tots els llocs WordPress gestionats i comprovar si tenen instal·lat el connector Burst Statistics.
En cas de disposar del connector afectat, es recomana actualitzar immediatament a la versió 3.4.2 o superior. Si no fora possible aplicar l’actualització de manera immediata, es recomana desactivar temporalment el connector fins a poder corregir la vulnerabilitat.
A més, es recomana revisar si hi ha comptes administradors creats recentment o sense justificació, així com comprovar els usuaris amb privilegis elevats en WordPress. També és convenient analitzar accessos recents a l’API REST de WordPress, especialment peticions dirigides a /wp-json/wp/v2/users.
En entorns corporatius, es recomana revisar registres d’autenticació, canvis d’usuaris, instal·lació de connectors, modificacions de contingut, temes instal·lats, fitxers no autoritzats i tasques programades sospitoses.
També es recomana limitar l’accés a l’administració de WordPress des de xarxes autoritzades quan siga possible, mantindre WordPress, connectors i temes actualitzats, i implementar o revisar regles WAF/EDR disponibles per a bloquejar intents d’explotació.
Pel fet que s’ha informat d’explotació activa, esta vulnerabilitat ha de tractar-se amb prioritat crítica, especialment en llocs WordPress exposats a internet.
Referències
[2] BleepingComputer – Hackers exploit auth bypass flaw in Burst Statistics WordPress connector