Uma vulnerabilidade crítica no plugin Burst Statistics para WordPress expôs mais de 200 mil sites a ataques de bypass de autenticação, com possibilidade de tomada completa de contas administrativas.
A falha, rastreada como CVE-2026-8181, recebeu pontuação CVSS 9.8 e afeta as versões 3.4.0 até 3.4.1.1 do plugin.
O problema foi introduzido em 23 de abril de 2026 e corrigido na versão 3.4.2, lançada em 12 de maio.
O Burst Statistics é uma ferramenta de analytics com foco em privacidade, usada para acompanhar métricas de acesso dentro do WordPress.
Por estar instalado em grande volume de sites, a falha aumenta o risco de exploração em massa.
A vulnerabilidade está na integração com o MainWP, especificamente na função is_mainwp_authenticated().
O componente processa solicitações de autenticação pelo cabeçalho HTTP Authorization, mas não valida corretamente se as credenciais são legítimas.
A exploração bem-sucedida permite executar ações privilegiadas sem login prévio.
Um exemplo de impacto é a criação de uma nova conta administrativa pelo endpoint /wp-json/wp/v2/users, garantindo acesso persistente e controle total do site.
