Des hackers exploitent activement une vulnérabilité critique d'authentification bypass dans le plugin WordPress **Burst Statistics** pour obtenir des privilèges d'administrateur sur les sites web affectés. **Qu'est-ce que Burst Statistics ?** **Burst Statistics** est un plugin d'analyse axé sur la confidentialité, utilisé sur plus de 200 000 sites WordPress, commercialisé comme une alternative légère à **Google Analytics**. **CVE-2026-8181 : La Vulnérabilité** La vulnérabilité, suivie sous la référence **CVE-2026-8181**, a été introduite dans la version 3.4.0 du plugin le 23 avril 2026, et était également présente dans la version 3.4.1. **Wordfence** a découvert la faille le 8 mai 2026, révélant qu'elle permet aux attaquants non authentifiés d'usurper l'identité d'utilisateurs administrateurs légitimes lors de requêtes REST API et même de créer de nouveaux comptes administrateurs frauduleux. Selon **Wordfence** : "Cette vulnérabilité permet aux attaquants non authentifiés connaissant un nom d'utilisateur administrateur valide d'usurper pleinement cet administrateur pendant la durée de toute requête REST API, y compris les points de terminaison du cœur de WordPress tels que /wp-json/wp/v2/users, en fournissant un mot de passe arbitraire et incorrect dans un en-tête Basic Authentication." Ils expliquent en outre qu'un attaquant pourrait exploiter cette faille pour créer un nouveau compte de niveau administrateur sans aucune authentification préalable. **Analyse de la Cause Racine** La cause racine réside dans l'interprétation incorrecte des résultats de la fonction `wp_authenticate_application_password()`. Le plugin traite par erreur une `WP_Error` comme une authentification réussie. De plus, **WordPress** peut retourner 'null' dans certains cas, ce qui est également interprété à tort comme une requête authentifiée. Cela conduit à l'appel de la fonction `wp_set_current_user()` avec le nom d'utilisateur fourni par l'attaquant, usurpant ainsi efficacement l'identité de cet utilisateur pendant la durée de la requête REST API. Les noms d'utilisateur administrateurs, souvent exposés dans les articles de blog, les commentaires ou les requêtes API publiques, peuvent également être devinés à l'aide de techniques de force brute. **Impact de l'Accès de Niveau Administrateur** L'obtention d'un accès de niveau administrateur permet aux attaquants de : * Accéder aux bases de données privées * Installer des backdoors * Rediriger les visiteurs vers des sites malveillants * Distribuer des malwares * Créer des utilisateurs administrateurs frauduleux **Exploitation en Cours** **Wordfence** avait averti d'une exploitation attendue, et leur intelligence sur les menaces indique que des activités malveillantes ciblant **CVE-2026-8181** ont déjà commencé. Ils ont bloqué plus de 7 400 attaques ciblant la vulnérabilité au cours des dernières 24 heures, soulignant la gravité de la menace. **Mesures d'Atténuation** Il est fortement conseillé aux utilisateurs du plugin **Burst Statistics** de mettre à jour vers la version corrigée, 3.4.2, publiée le 12 mai 2026, ou de désactiver complètement le plugin. **Paysage des Vulnérabilités** Les statistiques de **WordPress.org** indiquent que **Burst Statistics** a eu environ 85 000 téléchargements depuis la sortie de la version 3.4.2. Cela suggère qu'environ 115 000 sites restent exposés à des attaques potentielles de prise de contrôle d'administrateur.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)