Die Authentifizierungslücke in Burst Statistics entstand durch einen Programmierfehler bei der Interpretation der WordPress-Funktion ‘wp_authenticate_application_password()’. Die Entwickler behandelten fehlerhafte Authentifizierungsergebnisse (‘WP_Error’ oder ’null’) irrtümlich als erfolgreiche Anmeldungen. Dies führt dazu, dass die Funktion ‘wp_set_current_user()’ mit dem vom Angreifer eingegebenen Benutzernamen aufgerufen wird – wodurch dieser für die Dauer einer REST-API-Anfrage als Administrator agiert.
Besonders tückisch ist, dass Angreifer nur den Benutzernamen eines Administrators kennen müssen. Diese sind oft öffentlich einsehbar – etwa in Blog-Kommentaren, Beiträgen oder über öffentliche API-Anfragen. Alternativ können Cyberkriminelle Brute-Force-Techniken zur Namensermittlung nutzen.
Mit Admin-Zugriff können Hacker auf private Datenbanken zugreifen, Backdoors einbauen, Besucher auf bösartige Seiten umleiten, Malware verbreiten oder weitere rogue Admin-Accounts erstellen. Die Bedrohung ist bereits Realität: Wordfence dokumentiert aktive Exploitierungsversuche in großem Umfang.
Das Risiko für deutsche Websites ist erheblich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) würde solch kritische Lücken typischerweise in seiner Cyber-Sicherheitswarnung erfassen. Besitzer von betroffenen Websites sollten sofort auf Version 3.4.2 (erschienen am 12. Mai) aktualisieren oder das Plugin deaktivieren.
Wordfence-Statistiken zeigen: Während bereits 85.000 Downloads der Patch-Version erfolgt sind, bleiben schätzungsweise 115.000 Sites ungeschützt. Für Unternehmen und Behörden, die WordPress mit Burst Statistics betreiben, ist rasches Handeln erforderlich – nicht nur aus Sicherheitsgründen, sondern auch wegen datenschutzrechtlicher Verpflichtungen. Die Bundesdatenschutzbeauftragte (BfDI) und Landesdatenschutzbehörden werden bei massenhaften Datenlecks durch solche Lücken aktiv.