ハッカーは、**Burst Statistics** WordPressプラグインにおける深刻な認証バイパス脆弱性を悪用し、影響を受けたウェブサイトで管理者権限を取得しています。 **Burst Statisticsとは？** **Burst Statistics**は、200,000件以上のWordPressサイトで使用されているプライバシー重視の分析プラグインで、**Google Analytics**の軽量な代替として販売されています。 **CVE-2026-8181：脆弱性** **CVE-2026-8181**として追跡されているこの脆弱性は、2026年4月23日にリリースされたプラグインのバージョン3.4.0で導入され、バージョン3.4.1にも存在していました。 **Wordfence**は2026年5月8日にこの脆弱性を発見し、認証されていない攻撃者がREST APIリクエスト中に正規の管理者ユーザーになりすまし、さらには新しい不正な管理者アカウントを作成できることを明らかにしました。 **Wordfence**によると、「この脆弱性により、有効な管理者ユーザー名を知っている認証されていない攻撃者は、Basic Authenticationヘッダーに任意の不正なパスワードを指定することで、WordPressコアのエンドポイントである/wp-json/wp/v2/usersなど、あらゆるREST APIリクエストの実行中に、その管理者を完全に模倣することができます。」 さらに、攻撃者はこの脆弱性を悪用して、事前の認証なしに新しい管理者レベルのアカウントを作成できると説明しています。 **根本原因分析** 根本原因は、`wp_authenticate_application_password()`関数の結果の誤った解釈にあります。プラグインは誤って`WP_Error`を認証成功とみなします。 さらに、**WordPress**は場合によっては「null」を返すことがあり、これも誤って認証済みリクエストと解釈されます。これにより、攻撃者が提供したユーザー名で`wp_set_current_user()`関数が呼び出され、REST APIリクエストの実行中にそのユーザーになりすまします。 ブログ投稿、コメント、または公開APIリクエストで公開されることが多い管理者ユーザー名は、ブルートフォース攻撃によって推測される可能性もあります。 **管理者レベルアクセスによる影響** 管理者レベルのアクセスを取得すると、攻撃者は以下のことが可能になります。 * プライベートデータベースへのアクセス * バックドアの設置 * 悪意のあるサイトへの訪問者のリダイレクト * マルウェアの配布 * 不正な管理者ユーザーの作成 **実環境での悪用** **Wordfence**は悪用が予想されると警告しており、同社の脅威インテリジェンスによると、**CVE-2026-8181**を標的とした悪意のある活動はすでに始まっています。過去24時間で7,400件以上の脆弱性を標的とした攻撃をブロックしており、脅威の深刻さを浮き彫りにしています。 **緩和策** **Burst Statistics**プラグインのユーザーは、2026年5月12日にリリースされた修正バージョン3.4.2にアップグレードするか、プラグインを完全に無効にすることを強く推奨します。 **脆弱な状況** **WordPress.org**の統計によると、バージョン3.4.2のリリース以降、**Burst Statistics**は約85,000回のダウンロードがあります。これは、約115,000件のサイトが潜在的な管理者乗っ取り攻撃にさらされたままであることを示唆しています。  ## 検証のギャップ：自動ペネトレーションテストは1つの質問に答える。あなたには6つ必要。 自動ペネトレーションテストツールは実用的な価値を提供しますが、それらは1つの質問に答えるために構築されました。攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が維持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)