Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin
Mis à jour :
Vulnérabilité critique dans le plugin WordPress Burst Statistics
Le plugin d’analyse Burst Statistics, utilisé sur 200 000 sites WordPress, est la cible d’attaques actives exploitant une faille critique d’authentification. Cette vulnérabilité permet à des attaquants non authentifiés de contourner la sécurité pour usurper l’identité d’un administrateur ou créer de nouveaux comptes administrateurs malveillants via l’API REST de WordPress.
Points clés :
- Cause racine : Une erreur de programmation dans le traitement des fonctions d’authentification, où une valeur
nullest interprétée à tort comme une réussite. - Impact : Accès total au site (création de backdoors, injection de malwares, vol de données).
- Activité : Des milliers de tentatives d’exploitation ont déjà été bloquées par les outils de sécurité.
Vulnérabilité identifiée :
- CVE-2026-8181 : Présente dans les versions 3.4.0 et 3.4.1.
Recommandations :
- Mise à jour immédiate : Passer à la version 3.4.2 (ou ultérieure), qui corrige la faille.
- Mesure de secours : Désactiver ou supprimer le plugin si la mise à jour n’est pas possible immédiatement pour prévenir toute compromission.