WordPressウェブサイトは、人気のある拡張機能の重大な欠陥により、再び包囲に陥りました。今回、攻撃者はBurst Statistics(約200,000のウェブリソースに展開されているアナリティクスプラグイン)を標的にしました。この脆弱性により、事前の認証なしに管理者権限を取得することが可能になります。つまり、サイト所有者は自分のデジタルプロジェクトの制御を失うという差し迫ったリスクに直面しています。
この欠陥はCVE-2026-8181として指定されました。Wordfenceからの情報によると、この脆弱性はBurst Statisticsバージョン3.4.0のリリース時に4月23日に導入され、バージョン3.4.1でも存続していました。セキュリティ専門家は5月8日にこの欠陥を発見し、テレメトリの公開開示の直後にほぼ即座に激しい悪用が始まりました。
この体系的な障害は、wp_authenticate_application_password()関数によって返された結果の不適切な処理に由来しています。アプリケーションロジックは、特定のWordPressレスポンスを誤って成功した検証として解釈し、その後、攻撃者が供給したアイデンティティに現在のユーザーセッション属性を割り当てました。その結果、攻撃者は無効なパスワードを使用している場合でも、REST APIリクエスト中に既知の管理者を一時的に偽装できました。
成功した悪用には管理者のユーザー名の知識が必要ですが、そのようなデータは出版物、コメントスレッド、または公開APIクエリ内で頻繁に公開されており、ブルートフォース列挙を通じて収集することもできます。認証をバイパスすると、侵入者は新しい管理者アカウントを確立し、隠蔽されたデータにアクセスし、永続的なバックドアを埋め込み、トラフィックを悪意のある宛先にリダイレクトし、または侵害されたプラットフォームを介してマルウェアを拡散できます。
Wordfenceは、24時間の期間内にCVE-2026-8181を標的とした7,400以上の悪用の試みを無効化したと報告しています。これらの攻撃の規模は、脅威が理論的な提案から積極的なキャンペーンへ急速に移行したことを示しています。
開発者は2026年5月12日に修正されたバージョンであるBurst Statistics 3.4.2を展開しました。ウェブサイト管理者は、このアップデートのインストールを加速させるか、拡張機能を一時的に無効化することを強く求められています。WordPress.orgの統計によると、バージョン3.4.2のリリース以降、プラグインはおよそ85,000回ダウンロードされています。その後のすべてのダウンロードが安全なパッチを表していると仮定したとしても、推定115,000サイトが管理者ハイジャックに対して依然として影響を受けやすい可能性があります。
