ハッカーは、WordPress Burst Statistics プラグインの重大な認証バイパスの脆弱性を利用して、Web サイトへの管理者レベルのアクセスを取得しています。
Burst Statistics は、200,000 の WordPress サイトで動作するプライバシー重視の分析プラグインで、Google Analytics の軽量な代替手段として販売されています。
この欠陥は CVE-2026-8181 として追跡され、プラグインのバージョン 3.4.0 のリリースとともに 4 月 23 日に導入されました。脆弱なコードは次のバージョンであるバージョン 3.4.1 にも存在していました。
5 月 8 日に CVE-2026-8181 を発見した Wordfence によると、この欠陥により、認証されていない攻撃者が REST API リクエスト中に既知の管理者ユーザーになりすまし、不正な管理者アカウントを作成することさえ可能になります。
「この脆弱性により、有効な管理者のユーザー名を知っている認証されていない攻撃者は、Basic Authentication ヘッダーに任意の不正なパスワードを指定することで、/wp-json/wp/v2/users などのコア WordPress エンドポイントを含むあらゆる REST API リクエストに対してその管理者になりすますことが可能になります」と Wordfence は説明しています。
「最悪のシナリオでは、攻撃者がこの欠陥を悪用して、事前の認証なしで新しい管理者レベルのアカウントを作成する可能性があります。」
主な理由は、「wp_authenticate_application_password()」関数の結果の誤解、特に「WP_Error」を認証の成功を示すものとして扱うことです。
ただし、WordPress は場合によっては「null」を返すこともあり、これが誤って検証済みのリクエストとして扱われると研究者らは説明しています。
その結果、コードは攻撃者が提供したユーザー名を使用して「wp_set_current_user()」を呼び出し、REST API リクエストの間、事実上そのユーザーになりすまします。
管理者のユーザー名は、ブログ投稿、コメント、さらにはパブリック API リクエストで公開される可能性がありますが、攻撃者はブルートフォース手法を使用してそれらを推測することもできます。
管理者レベルのアクセスにより、攻撃者はプライベート データベースへのアクセス、バックドアの設置、訪問者の安全でない場所へのリダイレクト、マルウェアの配布、不正な管理者ユーザーの作成などが可能になります。
Wordfenceは投稿の中で「この脆弱性が攻撃者に狙われることが予想されるため、できるだけ早く最新バージョンにアップデートすることが重要である」と警告しているが、その追跡調査では悪意のある活動がすでに始まっていることが示されている。
同プラットフォームによると、このウェブサイトセキュリティ会社は過去 24 時間で CVE-2026-8181 をターゲットとした 7,400 件を超える攻撃をブロックしたため、この活動は重要です。
Burst Statistics プラグインのユーザーは、2026 年 5 月 12 日にリリースされた改訂版バージョン 3.4.2 にアップグレードするか、サイトでプラグインを無効にすることをお勧めします。
WordPress.org の統計によると、Burst Statistics は 3.4.2 のリリース以来 85,000 回ダウンロードされており、それらがすべて最新であったと仮定すると、約 115,000 のサイトが管理者乗っ取り攻撃に対して脆弱なままになります。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
