){kind=link}
Uma vulnerabilidade crítica no plugin Burst Statistics permite que hackers criem contas de administrador em sites WordPress sem precisar de senha. A falha CVE-2026-8181 foi descoberta em 8 de maio de 2026 pela plataforma PRISM da Wordfence. O problema afeta cerca de 200 mil instalações ativas do plugin.
A brecha permite que invasores não autenticados se passem por administradores conhecidos durante requisições à API REST do WordPress. Basicamente, basta o atacante saber o nome de usuário de um admin para conseguir acesso total ao site. Ele pode até criar novas contas de administrador do zero.
smart_display
Nossos vídeos em destaque
Como funciona o ataque
A exploração é relativamente simples. O invasor precisa apenas do nome de usuário de um administrador do site. Essas informações podem aparecer em posts, comentários ou até em requisições públicas da API. Os atacantes também podem usar técnicas de força bruta para adivinhar os nomes.
Com o username em mãos, o hacker envia uma requisição REST API para endpoints do WordPress como /wp-json/wp/v2/users. Ele adiciona um cabeçalho de autenticação básica com o nome do admin e qualquer senha inventada. O plugin interpreta essa tentativa incorretamente e concede acesso administrativo.
No pior cenário possível, o invasor consegue criar uma conta de administrador completamente nova sem qualquer autenticação prévia. Isso dá controle total sobre o site WordPress vulnerável.
A causa técnica da falha
O problema está na integração do Burst Statistics com a plataforma MainWP. O plugin implementou um esquema de autenticação HTTP customizado que valida senhas de aplicativo do WordPress. A função is_mainwp_authenticated() chama a função nativa wp_authenticate_application_password() para verificar as credenciais.
)
O erro acontece na interpretação do resultado dessa verificação. O código trata qualquer retorno que não seja WP_Error como autenticação bem-sucedida. Mas o WordPress também pode retornar null em alguns casos. O plugin interpreta esse null como se a autenticação tivesse funcionado.
Com isso, o código chama wp_set_current_user() usando o nome de usuário fornecido pelo atacante. Essa função define globalmente o usuário autenticado para toda a requisição. Todas as verificações de capacidade do WordPress passam a ver um administrador totalmente autenticado.
Ataques já começaram
A Wordfence alertou que esperava ataques direcionados contra essa vulnerabilidade. O aviso se confirmou rapidamente. A plataforma bloqueou mais de 7.400 tentativas de exploração da CVE-2026-8181 apenas nas últimas 24 horas.
)
A atividade maliciosa já é significativa. Atacantes estão claramente buscando sites vulneráveis para comprometer. Acesso de administrador permite roubar bancos de dados privados, instalar backdoors, redirecionar visitantes para sites perigosos e distribuir malware.
Timeline da descoberta ao patch
O PRISM descobriu a falha automaticamente em 8 de maio de 2026. A plataforma usa inteligência artificial autônoma para pesquisar vulnerabilidades em plugins WordPress. A brecha havia sido introduzida no código apenas 15 dias antes, em 23 de abril.
A Wordfence iniciou o processo de divulgação responsável no mesmo dia 8 de maio. Enviou os detalhes completos para a equipe do Burst Statistics em 11 de maio. O desenvolvedor reconheceu o relatório imediatamente e lançou a correção no dia seguinte.
)
A versão 3.4.2 do plugin saiu em 12 de maio de 2026. O patch corrige o problema exigindo que a função retorne especificamente um objeto WP_User antes de conceder acesso.
Situação atual e recomendações
As estatísticas do WordPress.org mostram 85 mil downloads desde o lançamento da versão corrigida. Assumindo que todos foram para a versão 3.4.2, ainda restam aproximadamente 115 mil sites expostos a ataques de tomada de conta administrativa.
Usuários do Wordfence Premium, Care e Response receberam proteção de firewall desde 8 de maio. Os usuários da versão gratuita receberão a mesma proteção apenas em 7 de junho de 2026. A atualização para a versão mais recente do plugin é crítica e deve ser feita imediatamente.
)
Sites que não puderem atualizar rapidamente devem considerar desabilitar temporariamente o Burst Statistics. A natureza não autenticada da vulnerabilidade e o nível de acesso que ela concede tornam essa uma ameaça de alta prioridade.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.