Des hackers profitent d’une vulnérabilité critique dans le plugin Burst Statistics pour WordPress. Cette faille leur donne un accès administrateur complet sur des sites web.
Le plugin Burst Statistics équipe 200 000 sites WordPress. Il propose une alternative légère à Google Analytics avec un accent sur la confidentialité.
La société Wordfence a repéré la faille CVE-2026-8181 le 8 mai. Les développeurs l’ont introduite le 23 avril lors de la sortie de la version 3.4.0. Le code défectueux persiste dans la version 3.4.1.
Les attaquants non authentifiés usurpent l’identité d’un administrateur valide pendant les requêtes REST API. Ils fournissent un mot de passe faux dans l’en-tête Basic Authentication. Le plugin confond le résultat de la fonction wp_authenticate_application_password() avec un succès. Il traite un objet WP_Error ou une valeur null comme une authentification valide.
Le code active alors wp_set_current_user() avec le nom d’utilisateur fourni par l’attaquant. L’intrus contrôle la requête REST API entière, y compris les endpoints du cœur de WordPress comme /wp-json/wp/v2/users. Dans le pire cas, l’attaquant crée un nouveau compte administrateur sans aucune vérification préalable.
Les noms d’administrateurs apparaissent souvent dans les articles, commentaires ou requêtes publiques. Les pirates les devinent aussi par force brute.
Un accès administrateur ouvre les bases de données privées. Les hackers installent des portes dérobées, redirigent les visiteurs vers des sites malveillants, diffusent des malwares ou multiplient les comptes admins.
Wordfence bloque plus de 7 400 attaques contre CVE-2026-8181 au cours des dernières 24 heures. L’entreprise presse les utilisateurs de passer à la version 3.4.2, publiée le 12 mai 2026, ou de désactiver le plugin.
Les statistiques de WordPress.org indiquent 85 000 téléchargements de la version corrigée. Près de 115 000 sites restent exposés aux prises de contrôle administrateur.