Hacker nutzen aktiv eine kritische Authentifizierungs-Bypass-Schwachstelle im **Burst Statistics** WordPress-Plugin aus, um Administratorrechte auf betroffenen Websites zu erlangen. **Was ist Burst Statistics?** **Burst Statistics** ist ein datenschutzorientiertes Analyse-Plugin, das auf über 200.000 WordPress-Seiten verwendet wird und als leichte Alternative zu **Google Analytics** vermarktet wird. **CVE-2026-8181: Die Schwachstelle** Die Schwachstelle, die als **CVE-2026-8181** verfolgt wird, wurde in Version 3.4.0 des Plugins am 23. April 2026 eingeführt und war auch in Version 3.4.1 vorhanden. **Wordfence** entdeckte die Schwachstelle am 8. Mai 2026 und enthüllte, dass sie es nicht authentifizierten Angreifern ermöglicht, sich während REST API-Anfragen als legitime Admin-Benutzer auszugeben und sogar neue, bösartige Admin-Konten zu erstellen. Laut **Wordfence**: "Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, die einen gültigen Administrator-Benutzernamen kennen, diesen Administrator für die Dauer jeder REST API-Anfrage, einschließlich der Kern-Endpunkte von WordPress wie /wp-json/wp/v2/users, vollständig zu imitieren, indem sie ein beliebiges und falsches Passwort in einem Basic Authentication-Header angeben." Sie erklären weiter, dass ein Angreifer diese Schwachstelle ausnutzen könnte, um ein neues Administratorkonto ohne vorherige Authentifizierung zu erstellen. **Ursachenanalyse** Die Ursache liegt in der falschen Interpretation der Ergebnisse der Funktion `wp_authenticate_application_password()`. Das Plugin behandelt fälschlicherweise einen `WP_Error` als erfolgreiche Authentifizierung. Darüber hinaus kann **WordPress** in einigen Fällen 'null' zurückgeben, was ebenfalls fälschlicherweise als authentifizierte Anfrage interpretiert wird. Dies führt dazu, dass die Funktion `wp_set_current_user()` mit dem vom Angreifer bereitgestellten Benutzernamen aufgerufen wird, wodurch dieser Benutzer für die Dauer der REST API-Anfrage effektiv imitiert wird. Admin-Benutzernamen, die oft in Blogbeiträgen, Kommentaren oder öffentlichen API-Anfragen offengelegt werden, können auch durch Brute-Force-Techniken erraten werden. **Auswirkungen des Administratorzugriffs** Der Erhalt von Administratorzugriff ermöglicht es Angreifern: * Auf private Datenbanken zuzugreifen * Backdoors zu platzieren * Besucher auf bösartige Websites umzuleiten * Malware zu verbreiten * Bösartige Admin-Benutzer zu erstellen **Ausnutzung in freier Wildbahn** **Wordfence** warnte vor erwarteter Ausnutzung, und ihre Threat Intelligence deutet darauf hin, dass bösartige Aktivitäten, die auf **CVE-2026-8181** abzielen, bereits begonnen haben. Sie haben in den letzten 24 Stunden über 7.400 Angriffe auf die Schwachstelle blockiert, was die Schwere der Bedrohung unterstreicht. **Schritte zur Abmilderung** Benutzern des **Burst Statistics** Plugins wird dringend empfohlen, auf die gepatchte Version 3.4.2, die am 12. Mai 2026 veröffentlicht wurde, zu aktualisieren oder das Plugin vollständig zu deaktivieren. **Anfällige Landschaft** Statistiken von **WordPress.org** zeigen, dass **Burst Statistics** seit der Veröffentlichung der Version 3.4.2 etwa 85.000 Downloads verzeichnet hat. Dies deutet darauf hin, dass etwa 115.000 Seiten potenziellen Admin-Übernahmeangriffen ausgesetzt bleiben.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)