Peretas mengeksploitasi kelemahan bypass autentikasi di plugin Burst Statistics WordPress

Peretas memanfaatkan kerentanan bypass otentikasi penting di plugin WordPress Burst Statistics untuk mendapatkan akses tingkat admin ke situs web.

Burst Statistics adalah plugin analitik yang berfokus pada privasi yang aktif di 200.000 situs WordPress dan dipasarkan sebagai alternatif ringan untuk Google Analytics.

Cacatnya, yang dilacak sebagai CVE-2026-8181, diperkenalkan pada tanggal 23 April dengan dirilisnya plugin versi 3.4.0. Kode rentan juga hadir dalam iterasi berikutnya, versi 3.4.1.

Menurut Wordfence, yang menemukan CVE-2026-8181 pada tanggal 8 Mei, kelemahan tersebut memungkinkan penyerang yang tidak diautentikasi untuk menyamar sebagai pengguna admin yang dikenal selama permintaan REST API, dan bahkan membuat akun admin jahat.

“Kerentanan ini memungkinkan penyerang yang tidak diautentikasi yang mengetahui nama pengguna administrator yang valid untuk sepenuhnya menyamar sebagai administrator tersebut selama permintaan REST API apa pun, termasuk titik akhir inti WordPress seperti /wp-json/wp/v2/users, dengan memberikan kata sandi yang sewenang-wenang dan salah di header Otentikasi Dasar,” jelas Wordfence.

“Dalam skenario terburuk, penyerang dapat mengeksploitasi kelemahan ini untuk membuat akun tingkat administrator baru tanpa autentikasi apa pun sebelumnya.”

Akar penyebabnya adalah interpretasi yang salah terhadap hasil fungsi ‘wp_authenticate_application_password()’, khususnya, memperlakukan ‘WP_Error’ sebagai indikasi otentikasi berhasil.

Namun, para peneliti menjelaskan bahwa WordPress juga dapat mengembalikan ‘null’ dalam beberapa kasus, yang secara keliru dianggap sebagai permintaan yang diautentikasi.

Akibatnya, kode tersebut memanggil ‘wp_set_current_user()’ dengan nama pengguna yang diberikan penyerang, yang secara efektif meniru identitas pengguna tersebut selama permintaan REST API.

Nama pengguna admin mungkin terekspos di postingan blog, komentar, atau bahkan permintaan API publik, namun penyerang juga dapat menggunakan teknik brute force untuk menebaknya.

Akses tingkat admin memungkinkan penyerang mengakses database pribadi, memasang pintu belakang, mengarahkan pengunjung ke lokasi yang tidak aman, mendistribusikan malware, membuat pengguna admin jahat, dan banyak lagi.

Meskipun Wordfence memperingatkan dalam postingannya bahwa mereka “mengharapkan kerentanan ini menjadi sasaran penyerang dan, oleh karena itu, memperbarui ke versi terbaru sesegera mungkin sangatlah penting,” pelacaknya menunjukkan bahwa aktivitas jahat sudah dimulai.

Menurut platform yang sama, perusahaan keamanan situs web telah memblokir lebih dari 7.400 serangan yang menargetkan CVE-2026-8181 dalam 24 jam terakhir, sehingga aktivitas tersebut signifikan.

Pengguna plugin Burst Statistics disarankan untuk meningkatkan ke rilis yang dipatch, versi 3.4.2, dirilis pada 12 Mei 2026, atau menonaktifkan plugin di situs mereka.

Statistik WordPress.org menunjukkan bahwa Burst Statistics memilikinya 85.000 unduhan sejak rilis 3.4.2, jadi dengan asumsi semuanya adalah versi terbaru, masih ada sekitar 115.000 situs yang terkena serangan pengambilalihan admin.