Uma vulnerabilidade crítica no plugin Burst Statistics permite que hackers criem contas de administrador em sites WordPress sem precisar de senha. A falha CVE-2026-8181 foi descoberta em 8 de maio de 2026 pela plataforma PRISM da Wordfence. O problema afeta cerca de 200 mil instalações ativas do plugin.A brecha permite que invasores não autenticados se passem por administradores conhecidos durante requisições à API REST do WordPress. Basicamente, basta o atacante saber o nome de usuário de um admin para conseguir acesso total ao site. Ele pode até criar novas contas de administrador do zero.Como funciona o ataqueA exploração é relativamente simples. O invasor precisa apenas do nome de usuário de um administrador do site. Essas informações podem aparecer em posts, comentários ou até em requisições públicas da API. Os atacantes também podem usar técnicas de força bruta para adivinhar os nomes.Falha no Burst Statistics permite que invasores criem contas de administrador no WordPress sem senha válida. Basta conhecer o nome de usuário de um admin.Com o username em mãos, o hacker envia uma requisição REST API para endpoints do WordPress como /wp-json/wp/v2/users. Ele adiciona um cabeçalho de autenticação básica com o nome do admin e qualquer senha inventada. O plugin interpreta essa tentativa incorretamente e concede acesso administrativo.No pior cenário possível, o invasor consegue criar uma conta de administrador completamente nova sem qualquer autenticação prévia. Isso dá controle total sobre o site WordPress vulnerável.A causa técnica da falhaO problema está na integração do Burst Statistics com a plataforma MainWP. O plugin implementou um esquema de autenticação HTTP customizado que valida senhas de aplicativo do WordPress. A função is_mainwp_authenticated() chama a função nativa wp_authenticate_application_password() para verificar as credenciais.Vulnerabilidade CVE-2026-8181 burla a autenticação do WordPress. Atacantes podem se passar por administradores usando qualquer senha inventada durante requisições à API REST.O erro acontece na interpretação do resultado dessa verificação. O código trata qualquer retorno que não seja WP_Error como autenticação bem-sucedida. Mas o WordPress também pode retornar null em alguns casos. O plugin interpreta esse null como se a autenticação tivesse funcionado.Com isso, o código chama wp_set_current_user() usando o nome de usuário fornecido pelo atacante. Essa função define globalmente o usuário autenticado para toda a requisição. Todas as verificações de capacidade do WordPress passam a ver um administrador totalmente autenticado.Ataques já começaramA Wordfence alertou que esperava ataques direcionados contra essa vulnerabilidade. O aviso se confirmou rapidamente. A plataforma bloqueou mais de 7.400 tentativas de exploração da CVE-2026-8181 apenas nas últimas 24 horas.Wordfence bloqueou mais de 7.400 tentativas de exploração da falha nas últimas 24 horas. Ataques contra sites vulneráveis já começaram.A atividade maliciosa já é significativa. Atacantes estão claramente buscando sites vulneráveis para comprometer. Acesso de administrador permite roubar bancos de dados privados, instalar backdoors, redirecionar visitantes para sites perigosos e distribuir malware.Timeline da descoberta ao patchO PRISM descobriu a falha automaticamente em 8 de maio de 2026. A plataforma usa inteligência artificial autônoma para pesquisar vulnerabilidades em plugins WordPress. A brecha havia sido introduzida no código apenas 15 dias antes, em 23 de abril.A Wordfence iniciou o processo de divulgação responsável no mesmo dia 8 de maio. Enviou os detalhes completos para a equipe do Burst Statistics em 11 de maio. O desenvolvedor reconheceu o relatório imediatamente e lançou a correção no dia seguinte.Plugin Burst Statistics introduziu a brecha de segurança em 23 de abril de 2026. A vulnerabilidade foi descoberta pela plataforma PRISM apenas 15 dias depois.A versão 3.4.2 do plugin saiu em 12 de maio de 2026. O patch corrige o problema exigindo que a função retorne especificamente um objeto WP_User antes de conceder acesso.Situação atual e recomendaçõesAs estatísticas do WordPress.org mostram 85 mil downloads desde o lançamento da versão corrigida. Assumindo que todos foram para a versão 3.4.2, ainda restam aproximadamente 115 mil sites expostos a ataques de tomada de conta administrativa.Usuários do Wordfence Premium, Care e Response receberam proteção de firewall desde 8 de maio. Os usuários da versão gratuita receberão a mesma proteção apenas em 7 de junho de 2026. A atualização para a versão mais recente do plugin é crítica e deve ser feita imediatamente.Aproximadamente 115 mil sites WordPress ainda estão expostos à falha crítica. Atualização para a versão 3.4.2 do Burst Statistics é urgente.Sites que não puderem atualizar rapidamente devem considerar desabilitar temporariamente o Burst Statistics. A natureza não autenticada da vulnerabilidade e o nível de acesso que ela concede tornam essa uma ameaça de alta prioridade.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.