Hackers estão explorando ativamente uma vulnerabilidade crítica de bypass de autenticação no plugin **Burst Statistics** para obter privilégios de administrador em sites afetados. **O que é Burst Statistics?** **Burst Statistics** é um plugin de análise focado em privacidade usado em mais de 200.000 sites WordPress, comercializado como uma alternativa leve ao **Google Analytics**. **CVE-2026-8181: A Vulnerabilidade** A vulnerabilidade, rastreada como **CVE-2026-8181**, foi introduzida na versão 3.4.0 do plugin em 23 de abril de 2026 e também estava presente na versão 3.4.1. A **Wordfence** descobriu a falha em 8 de maio de 2026, revelando que ela permite que atacantes não autenticados se passem por usuários administradores legítimos durante requisições da REST API e até mesmo criem novas contas de administrador maliciosas. De acordo com a **Wordfence**: "Esta vulnerabilidade permite que atacantes não autenticados que conhecem um nome de usuário administrador válido se passem completamente por esse administrador durante qualquer requisição da REST API, incluindo endpoints principais do WordPress como /wp-json/wp/v2/users, fornecendo qualquer senha arbitrária e incorreta em um cabeçalho Basic Authentication." Eles explicam ainda que um atacante poderia explorar essa falha para criar uma nova conta de nível de administrador sem qualquer autenticação prévia. **Análise da Causa Raiz** A causa raiz reside na interpretação incorreta dos resultados da função `wp_authenticate_application_password()`. O plugin trata erroneamente um `WP_Error` como uma autenticação bem-sucedida. Além disso, o **WordPress** pode retornar 'null' em alguns casos, o que também é interpretado incorretamente como uma requisição autenticada. Isso leva à chamada da função `wp_set_current_user()` com o nome de usuário fornecido pelo atacante, efetivamente se passando por esse usuário durante a requisição da REST API. Nomes de usuário de administrador, frequentemente expostos em posts de blog, comentários ou requisições públicas de API, também podem ser adivinhados usando técnicas de força bruta. **Impacto do Acesso de Nível de Administrador** Obter acesso de nível de administrador permite que atacantes: * Acessem bancos de dados privados * Plantem backdoors * Redirecionem visitantes para sites maliciosos * Distribuam malware * Criem usuários administradores maliciosos **Exploração em Larga Escala** A **Wordfence** alertou sobre a exploração esperada, e sua inteligência de ameaças indica que a atividade maliciosa visando **CVE-2026-8181** já começou. Eles bloquearam mais de 7.400 ataques visando a vulnerabilidade nas últimas 24 horas, destacando a gravidade da ameaça. **Passos de Mitigação** Usuários do plugin **Burst Statistics** são fortemente aconselhados a atualizar para a versão corrigida, 3.4.2, lançada em 12 de maio de 2026, ou desabilitar o plugin completamente. **Cenário de Vulnerabilidade** Estatísticas do **WordPress.org** indicam que o **Burst Statistics** teve aproximadamente 85.000 downloads desde o lançamento da versão 3.4.2. Isso sugere que cerca de 115.000 sites permanecem expostos a potenciais ataques de tomada de controle de administrador.  ## A Lacuna de Validação: Pentesting Automatizado Responde Uma Pergunta. Você Precisa de Seis. Ferramentas de pentesting automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, suas regras de detecção disparam ou suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)