ハッカーがBurst Statistics WordPressプラグインの認証回避フローを悪用

ハッカーはWordPressプラグイン「Burst Statistics」の重大な認証回避脆弱性を悪用して、ウェブサイトへの管理者レベルのアクセスを取得しています。

Burst Statisticsはプライバシー重視の分析プラグインで、200,000のWordPressサイトで運用されており、Google Analyticsの軽量な代替製品として販売されています。

CVE-2026-8181として追跡されているこの欠陥は、4月23日のプラグインバージョン3.4.0のリリースで導入されました。脆弱なコードはその後のバージョン3.4.1にも存在していました。

広告主のウェブサイトにアクセスページに移動

5月8日にCVE-2026-8181を発見したWordfenceによると、この欠陥により認証されていない攻撃者はREST APIリクエスト中に既知の管理者ユーザーになりすまし、さらに不正な管理者アカウントを作成することができます。

「この脆弱性により、有効な管理者ユーザー名を知っている認証されていない攻撃者は、Basic認証ヘッダーで任意の間違ったパスワードを供給することにより、/wp-json/wp/v2/usersなどのWordPressコアエンドポイントを含む、あらゆるREST APIリクエストの期間中、その管理者に完全になりすますことができます。」とWordfenceは説明しています。

「最悪のシナリオでは、攻撃者はこの欠陥を悪用して、事前の認証なしで新しい管理者レベルのアカウントを作成できる可能性があります。」

根本的な原因は、「wp_authenticate_application_password()」関数の結果の誤った解釈です。具体的には、「WP_Error」を認証成功の指標として扱っています。

しかし、研究者たちはWordPressが場合によっては「null」を返すことができ、それが誤って認証されたリクエストとして扱われると説明しています。

その結果、コードは攻撃者が提供したユーザー名で「wp_set_current_user()」を呼び出し、REST APIリクエストの期間中、そのユーザーに効果的になりすまします。

管理者ユーザー名はブログ投稿、コメント、さらには公開API要求でも公開される可能性がありますが、攻撃者はブルートフォース技術を使用してそれらを推測することもできます。

管理者レベルのアクセスにより、攻撃者はプライベートデータベースにアクセスしたり、バックドアを埋め込んだり、訪問者を安全でない場所にリダイレクトしたり、マルウェアを配布したり、不正な管理者ユーザーを作成したりすることができます。

Wordfenceは投稿で「この脆弱性が攻撃者の標的になると予想されるため、できるだけ早く最新バージョンに更新することは重大である」と警告していますが、トラッカーは悪意のある活動がすでに始まっていることを示しています。

同じプラットフォームによると、ウェブサイトセキュリティ企業は過去24時間でCVE-2026-8181を対象とした7,400件以上の攻撃をブロックしているため、活動は重大です。

Burst Statisticsプラグインのユーザーは、2026年5月12日にリリースされたパッチされたリリースバージョン3.4.2にアップグレードするか、サイト上でプラグインを無効にすることをお勧めします。

WordPress.orgの統計によると、Burst Statisticsは3.4.2のリリース以来85,000のダウンロードがあり、すべてが最新バージョンであると仮定すると、約115,000のサイトが管理者乗っ取り攻撃にさらされたままです。