Descubra a Vulnerabilidade Crítica que Deixa 200 mil Sites WordPress em Risco de Invasão

Uma falha crítica no plugin Burst Statistics pode permitir que hackers criem contas de administrador em sites WordPress sem precisar de senha.

O que é a Vulnerabilidade CVE-2026-8181?

A vulnerabilidade CVE-2026-8181 é uma falha de segurança que permite que invasores não autenticados se passem por administradores conhecidos durante requisições à API REST do WordPress. Isso pode dar acesso total ao site, permitindo que os hackers roubem bancos de dados privados, instalem backdoors, redirecionem visitantes para sites perigosos e distribuam malware.

Como Funciona o Ataque

O ataque é relativamente simples e só requer que o invasor conheça o nome de usuário de um administrador do site. Com essa informação, o hacker pode enviar uma requisição REST API para endpoints do WordPress e criar uma conta de administrador completamente nova sem qualquer autenticação prévia.

A Causa Técnica da Falha

A causa da falha está na integração do Burst Statistics com a plataforma MainWP. O plugin implementou um esquema de autenticação HTTP customizado que valida senhas de aplicativo do WordPress, mas o código trata qualquer retorno que não seja WP_Error como autenticação bem-sucedida, o que permite que os hackers criem contas de administrador sem senha.

Ataques Já Começaram

A Wordfence já bloqueou mais de 7.400 tentativas de exploração da vulnerabilidade nas últimas 24 horas. Isso mostra que os atacantes estão claramente buscando sites vulneráveis para comprometer.

O que Você Pode Fazer

Se você é um usuário do plugin Burst Statistics, é urgente que você atualize para a versão 3.4.2 o mais rápido possível. Se não puder atualizar rapidamente, considere desabilitar temporariamente o plugin para evitar ataques.

Segundo o Porto Tech, "a segurança online é uma prioridade e é fundamental que os usuários tomem medidas para proteger seus sites e dados contra vulnerabilidades como essa."