Los hackers están explotando activamente una vulnerabilidad crítica de bypass de autenticación en el plugin de WordPress **Burst Statistics** para obtener privilegios de administrador en los sitios web afectados. **¿Qué es Burst Statistics?** **Burst Statistics** es un plugin de análisis centrado en la privacidad utilizado en más de 200.000 sitios de WordPress, comercializado como una alternativa ligera a **Google Analytics**. **CVE-2026-8181: La Vulnerabilidad** La vulnerabilidad, rastreada como **CVE-2026-8181**, se introdujo en la versión 3.4.0 del plugin el 23 de abril de 2026, y también estuvo presente en la versión 3.4.1. **Wordfence** descubrió la falla el 8 de mayo de 2026, revelando que permite a atacantes no autenticados suplantar a usuarios administradores legítimos durante las solicitudes de la REST API e incluso crear nuevas cuentas de administrador maliciosas. Según **Wordfence**: "Esta vulnerabilidad permite a atacantes no autenticados que conocen un nombre de usuario administrador válido suplantar completamente a ese administrador durante la duración de cualquier solicitud de REST API, incluidos los endpoints principales de WordPress como /wp-json/wp/v2/users, al proporcionar cualquier contraseña arbitraria e incorrecta en una cabecera Basic Authentication." Explicaron además que un atacante podría explotar esta falla para crear una nueva cuenta de nivel de administrador sin ninguna autenticación previa. **Análisis de la Causa Raíz** La causa raíz radica en la interpretación incorrecta de los resultados de la función `wp_authenticate_application_password()`. El plugin trata erróneamente un `WP_Error` como una autenticación exitosa. Además, **WordPress** puede devolver 'null' en algunos casos, lo que también se interpreta incorrectamente como una solicitud autenticada. Esto lleva a que la función `wp_set_current_user()` se llame con el nombre de usuario proporcionado por el atacante, suplantando efectivamente a ese usuario durante la duración de la solicitud de REST API. Los nombres de usuario de administrador, a menudo expuestos en publicaciones de blog, comentarios o solicitudes públicas de API, también pueden ser adivinados utilizando técnicas de fuerza bruta. **Impacto del Acceso a Nivel de Administrador** Obtener acceso a nivel de administrador permite a los atacantes: * Acceder a bases de datos privadas * Inyectar backdoors * Redirigir visitantes a sitios maliciosos * Distribuir malware * Crear usuarios administradores maliciosos **Explotación en la Naturaleza** **Wordfence** advirtió sobre la explotación esperada, y su inteligencia de amenazas indica que la actividad maliciosa dirigida a **CVE-2026-8181** ya ha comenzado. Han bloqueado más de 7.400 ataques dirigidos a la vulnerabilidad en las últimas 24 horas, lo que resalta la gravedad de la amenaza. **Pasos de Mitigación** Se recomienda encarecidamente a los usuarios del plugin **Burst Statistics** que actualicen a la versión parcheada, 3.4.2, lanzada el 12 de mayo de 2026, o que deshabiliten el plugin por completo. **Panorama de Vulnerabilidad** Las estadísticas de **WordPress.org** indican que **Burst Statistics** ha tenido aproximadamente 85.000 descargas desde el lanzamiento de la versión 3.4.2. Esto sugiere que aproximadamente 115.000 sitios permanecen expuestos a posibles ataques de toma de control de administrador.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas de pruebas de penetración automatizadas brindan un valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)