Burst Statisticsという人気のあるWordPress分析プラグイン(20万以上のアクティブなインストール数)に、重大な認証バイパス脆弱性が発見されました。このプラグインは数十万のウェブサイトを危険にさらしており、有効な認証情報なしで完全な管理者乗っ取りのリスクがあります。
この脆弱性はプラグインバージョン3.4.0から3.4.1.1に影響し、バージョン3.4.2で修正されました。修正版は2026年5月12日にリリースされ、ベンダーが報告を認めてからわずか1日後のリリースでした。
単一の有効な管理者ユーザー名を知っている攻撃者は、1つのHTTPリクエストでこの脆弱性を悪用できます:
このリクエストは、実際の認証情報なしで新しい管理者レベルのアカウントを作成します。
セキュリティチームとサイト管理者が知っておく必要がある重要な詳細:
Burst Statisticsを実行しているサイト所有者は、すぐにバージョン3.4.2に更新する必要があります。この脆弱性の認証不要の性質と悪用の容易さを考えると、Wordfenceは積極的な悪用の試みが予想されると明確に警告しました。
この脆弱性は2026年4月23日にコードベースに導入され、15日後に発見され、19日以内にパッチが適用されました。このタイムラインはWordfenceがAI加速脆弱性研究による攻撃者の機会窓口の削減の実証として引用しています。
翻訳元: https://cyberpress.org/critical-wordpress-plugin-flaw-3/
ソース: cyberpress.org