Authentifizierungs-Lücke in WordPress-Plugin Burst Statistics wird aktiv ausgenutzt

Burst Statistics ist ein datenschutzorientiertes Analyse-Plugin für WordPress, das als schlanke Alternative zu Google Analytics beworben wird und auf etwa 200.000 Websites im Einsatz ist. Die als kritisch eingestufte Schwachstelle trägt die Kennung CVE-2026-8181 und wurde mit der Veröffentlichung der Version 3.4.0 eingeführt. Auch die nachfolgende Version 3.4.1 enthielt den fehlerhaften Code.

Nach Angaben von Wordfence, das die Lücke entdeckte, können nicht authentifizierte Angreifer sich während REST-API-Anfragen als bekannte Administratoren ausgeben und sogar betrügerische Admin-Konten anlegen. Voraussetzung ist lediglich die Kenntnis eines gültigen Administrator-Benutzernamens.

„Diese Schwachstelle erlaubt es nicht authentifizierten Angreifern, die einen gültigen Administrator-Benutzernamen kennen, diesen Administrator für die Dauer jeder REST-API-Anfrage vollständig zu imitieren — einschließlich der WordPress-Kern-Endpunkte wie /wp-json/wp/v2/users —, indem sie ein beliebiges, falsches Passwort in einem Basic-Authentication-Header übermitteln“, erklärt Wordfence. Im schlimmsten Fall lasse sich so ohne jede vorherige Anmeldung ein neues Konto mit Administratorrechten erstellen.

Ursache ist eine fehlerhafte Auswertung der Ergebnisse der Funktion „wp_authenticate_application_password()“: Ein zurückgegebenes „WP_Error“ wird irrtümlich als erfolgreiche Authentifizierung gewertet. Wordfence weist darauf hin, dass WordPress in bestimmten Fällen auch „null“ zurückgeben kann, was ebenfalls fälschlich als authentifizierte Anfrage behandelt wird. In der Folge ruft der Code „wp_set_current_user()“ mit dem vom Angreifer angegebenen Benutzernamen auf und gibt sich für die Dauer der Anfrage als dieser Nutzer aus.

Administrator-Benutzernamen können in Blogbeiträgen, Kommentaren oder über öffentliche API-Anfragen sichtbar sein; Angreifer können sie aber auch per Brute-Force erraten. Mit Administratorrechten lassen sich unter anderem private Datenbanken einsehen, Backdoors platzieren, Besucher auf unsichere Seiten umleiten, Malware verteilen und weitere Admin-Konten anlegen.

Wordfence warnte, man rechne damit, dass die Schwachstelle gezielt angegriffen werde, weshalb ein zügiges Update entscheidend sei. Die Auswertung des Anbieters zeigt jedoch, dass die schädliche Aktivität bereits begonnen hat: In den vergangenen 24 Stunden blockierte das Unternehmen nach eigenen Angaben über 7.400 Angriffe auf CVE-2026-8181.

Nutzern wird empfohlen, auf die bereinigte Version 3.4.2 zu aktualisieren oder das Plugin zu deaktivieren. Laut den Statistiken von WordPress.org wurde Burst Statistics seit Erscheinen von 3.4.2 rund 85.000 Mal heruntergeladen. Geht man davon aus, dass alle diese Downloads die neueste Version betrafen, bleiben damit etwa 115.000 Seiten anfällig für die Übernahme durch Administratorrechte.