sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
quarta-feira, julho 1, 2026
Top Posts
Festival de Artes Cênicas Preta do Maranhão tem...
Rio: nova enfermaria abre 90 vagas mensais no...
Com dois gols de Mbappé, França despacha Suécia...
AWS cria unidade de IA com aporte de...
Inquérito sobre avião da Voepass deve ser concluído...
Galaxy Z Fold 8: Samsung dá pistas e...
Geladeira Electrolux Inverter: as 5 melhores opções
Três mudanças acontecem quando o escritório passa a...
Marvel’s Spider-Man 2 e mais jogos da Steam...
João Fonseca reencontra Jesper de Jong na 2ª...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Falha crítica deixa 200 mil sites WordPress em risco de invasão

por SampaNews 15 de maio de 2026
15 de maio de 2026
23

Uma vulnerabilidade crítica no plugin Burst Statistics permite que hackers criem contas de administrador em sites WordPress sem precisar de senha. A falha CVE-2026-8181 foi descoberta em 8 de maio de 2026 pela plataforma PRISM da Wordfence. O problema afeta cerca de 200 mil instalações ativas do plugin.

A brecha permite que invasores não autenticados se passem por administradores conhecidos durante requisições à API REST do WordPress. Basicamente, basta o atacante saber o nome de usuário de um admin para conseguir acesso total ao site. Ele pode até criar novas contas de administrador do zero.

smart_display

Nossos vídeos em destaque

Como funciona o ataque

A exploração é relativamente simples. O invasor precisa apenas do nome de usuário de um administrador do site. Essas informações podem aparecer em posts, comentários ou até em requisições públicas da API. Os atacantes também podem usar técnicas de força bruta para adivinhar os nomes.

Falha no Burst Statistics permite que invasores criem contas de administrador no WordPress sem senha válida. Basta conhecer o nome de usuário de um admin.

Com o username em mãos, o hacker envia uma requisição REST API para endpoints do WordPress como /wp-json/wp/v2/users. Ele adiciona um cabeçalho de autenticação básica com o nome do admin e qualquer senha inventada. O plugin interpreta essa tentativa incorretamente e concede acesso administrativo.

No pior cenário possível, o invasor consegue criar uma conta de administrador completamente nova sem qualquer autenticação prévia. Isso dá controle total sobre o site WordPress vulnerável.

A causa técnica da falha

O problema está na integração do Burst Statistics com a plataforma MainWP. O plugin implementou um esquema de autenticação HTTP customizado que valida senhas de aplicativo do WordPress. A função is_mainwp_authenticated() chama a função nativa wp_authenticate_application_password() para verificar as credenciais.

ilustracao-mostrando-digitacao-de-login-e-senha-em-notebook
Vulnerabilidade CVE-2026-8181 burla a autenticação do WordPress. Atacantes podem se passar por administradores usando qualquer senha inventada durante requisições à API REST.

O erro acontece na interpretação do resultado dessa verificação. O código trata qualquer retorno que não seja WP_Error como autenticação bem-sucedida. Mas o WordPress também pode retornar null em alguns casos. O plugin interpreta esse null como se a autenticação tivesse funcionado.

Com isso, o código chama wp_set_current_user() usando o nome de usuário fornecido pelo atacante. Essa função define globalmente o usuário autenticado para toda a requisição. Todas as verificações de capacidade do WordPress passam a ver um administrador totalmente autenticado.

Ataques já começaram

A Wordfence alertou que esperava ataques direcionados contra essa vulnerabilidade. O aviso se confirmou rapidamente. A plataforma bloqueou mais de 7.400 tentativas de exploração da CVE-2026-8181 apenas nas últimas 24 horas.

antivirus-surfshark-confira-a-promocao-para-aproveitar-na-black-friday-thumb.png
Wordfence bloqueou mais de 7.400 tentativas de exploração da falha nas últimas 24 horas. Ataques contra sites vulneráveis já começaram.

A atividade maliciosa já é significativa. Atacantes estão claramente buscando sites vulneráveis para comprometer. Acesso de administrador permite roubar bancos de dados privados, instalar backdoors, redirecionar visitantes para sites perigosos e distribuir malware.

Timeline da descoberta ao patch

O PRISM descobriu a falha automaticamente em 8 de maio de 2026. A plataforma usa inteligência artificial autônoma para pesquisar vulnerabilidades em plugins WordPress. A brecha havia sido introduzida no código apenas 15 dias antes, em 23 de abril.

A Wordfence iniciou o processo de divulgação responsável no mesmo dia 8 de maio. Enviou os detalhes completos para a equipe do Burst Statistics em 11 de maio. O desenvolvedor reconheceu o relatório imediatamente e lançou a correção no dia seguinte.

alerta-de-email-suspeito-com-icone-de-aviso-vermelho-ciberseguranca-ataque-digital-e-ameaca-virtual-phishing
Plugin Burst Statistics introduziu a brecha de segurança em 23 de abril de 2026. A vulnerabilidade foi descoberta pela plataforma PRISM apenas 15 dias depois.

A versão 3.4.2 do plugin saiu em 12 de maio de 2026. O patch corrige o problema exigindo que a função retorne especificamente um objeto WP_User antes de conceder acesso.

Situação atual e recomendações

As estatísticas do WordPress.org mostram 85 mil downloads desde o lançamento da versão corrigida. Assumindo que todos foram para a versão 3.4.2, ainda restam aproximadamente 115 mil sites expostos a ataques de tomada de conta administrativa.

Usuários do Wordfence Premium, Care e Response receberam proteção de firewall desde 8 de maio. Os usuários da versão gratuita receberão a mesma proteção apenas em 7 de junho de 2026. A atualização para a versão mais recente do plugin é crítica e deve ser feita imediatamente.

como-colocar-senha-no-excel-e-deixar-seu-trabalho-seguro-thumb.png
Aproximadamente 115 mil sites WordPress ainda estão expostos à falha crítica. Atualização para a versão 3.4.2 do Burst Statistics é urgente.

Sites que não puderem atualizar rapidamente devem considerar desabilitar temporariamente o Burst Statistics. A natureza não autenticada da vulnerabilidade e o nível de acesso que ela concede tornam essa uma ameaça de alta prioridade.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
PGR denuncia Romeu Zema por calúnia contra Gilmar Mendes e pede indenização
próxima postagem
Trump chama repórter de ‘falso’ e diz que cobertura da guerra no Irã é ‘traidora’

Você também pode gostar

AWS cria unidade de IA com aporte de...

30 de junho de 2026

Galaxy Z Fold 8: Samsung dá pistas e...

30 de junho de 2026

Geladeira Electrolux Inverter: as 5 melhores opções

30 de junho de 2026

Três mudanças acontecem quando o escritório passa a...

30 de junho de 2026

POSTS MAIS RECENTES

  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
  • Inquérito sobre avião da Voepass deve ser concluído em até 30 dias; famílias esperam indiciamentos

Siga-nos

  • Recente
  • Popular
  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas

    1 de julho de 2026
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes

    1 de julho de 2026
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas

    1 de julho de 2026
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Galaxy Z Fold 8: Samsung dá pistas e...

30 de junho de 2026

Geladeira Electrolux Inverter: as 5 melhores opções

30 de junho de 2026

Três mudanças acontecem quando o escritório passa a...

30 de junho de 2026

Marvel’s Spider-Man 2 e mais jogos da Steam...

30 de junho de 2026

João Fonseca reencontra Jesper de Jong na 2ª...

30 de junho de 2026

Leitura obrigatória

  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas

    1 de julho de 2026
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes

    1 de julho de 2026
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas

    1 de julho de 2026
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • Inquérito sobre avião da Voepass deve ser concluído em até 30 dias; famílias esperam indiciamentos

    30 de junho de 2026

Newsletter

Posts relacionados

  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • Galaxy Z Fold 8: Samsung dá pistas e praticamente confirma novo formato

    30 de junho de 2026
  • Geladeira Electrolux Inverter: as 5 melhores opções

    30 de junho de 2026
  • Três mudanças acontecem quando o escritório passa a ser visto como produto

    30 de junho de 2026
  • Marvel’s Spider-Man 2 e mais jogos da Steam com até 90% OFF na Nuuvem; confira

    30 de junho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Altman pede desculpas por OpenAI não alertar polícia sobre suspeita de tiroteio
25 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

Parentesco de Silas e Sherlock vai além das telas em Jovem Sherlock
5 de março de 2026
Após tempestade, Energisa já restabeleceu 90% dos atendimentos em Bragança Paulista e região
14 de junho de 2026
Governo usa operação de Ciro Nogueira e Trump para conter crise após derrota no STF
8 de maio de 2026

Categorias Populares

  • Tecnologia (5.741)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (1.991)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.073)
  • Bragança Paulista (1.039)
  • Esporte (741)
  • Saúde (482)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home