Uma falha crítica no plugin Burst Statistics (CVE-2026-8181) está sendo explorada para obter acesso com privilégios de administrador no WordPress, o que converte sites que usam este plugin em objetivos de gerenciamento completo. Burst Statistics, promovido como uma alternativa leve e respeitosa à privacidade do Google Analytics e com presença em cerca de 200.000 instalações, introduziu o código vulnerável na versão 3.4.0 e este permaneceu também em 3.4.1.
A origem técnica do problema reside na forma como o plugin valida credenciais através da função interna do WordPress wp_ authenticate_ application_password(). O código de Burst Statistics interpreta respostas de erro (WP_Error) e valores nulos como se fossem autenticações válidas e então executa wp_ seset_current_ user() com o nome de usuário fornecido pelo atacante, o que permite suplantar qualquer administrador conhecido durante a execução de pedidos REST API.
Isto não é teoria: a API REST do WordPress inclui endpoints sensíveis como /wp-json/wp/v2/users e a autenticação básica manipulada pelo erro permite que um atacante forneça qualquer senha e ainda assim se faça passar pelo administrador indicado. Os nomes de usuário de administradores costumam ser expostos em comentários, entradas ou petições públicas, e quando não estão disponíveis podem ser adivinhar por força bruta, o que simplifica o trabalho do atacante.
As consequências práticas são severas: com privilégios admin um atacante pode criar contas administrativas fraudulentas, injetar portas traseiras em arquivos e base de dados, distribuir malware, redirigir tráfego, inserir conteúdo de SEO malicioso ou roubar dados confidenciais. Os pesquisadores do Wordfence confirmaram atividade maliciosa na natureza e reportam bloqueios massivos de tentativas de exploração; seu acompanhamento público documenta a campanha em curso e recomenda atualizar ou desativar o plugin imediatamente. Mais detalhes técnicos e alertas estão disponíveis na nota do Wordfence: Wordfence – Burst Statistics e em seu tracker de ameaças: Wordfence Threat Intel.
A medida imediata e não negociável para administradores afetados é atualizar para a versão alterada 3.4.2 publicada em 12 de maio de 2026 ou, se não for possível atualizar imediatamente, desativar o plugin até aplicar o adesivo. As estatísticas do WordPress que acompanham a publicação mostram dezenas de milhares de instalações que já baixaram a versão corrigida, mas ainda restam muitos sites potencialmente expostos: a página do plugin no repositório oficial documenta informações de downloads e versões: Burst Statistics – WordPress.org.
Se houver a menor suspeita de que o seu site foi comprometido, actue como se estivesse comprometido: coloque a web em manutenção ou a nível de acesso restrito, verifique a lista de usuários do painel e com base em dados para detectar contas administrativas novas ou desconhecidas e elimínelas, inspeccione arquivos e diretórios em busca de backdoors e mudanças recentes, compare com respaldos limpos e considere restaurar a partir de uma cópia anterior verificada. É crucial também rodar credenciais de administradores e senhas de base de dados, regenerar as chaves e sais do WordPress, e revisar registros de acesso web e logs de PHP para determinar a janela de compromisso.
Para reduzir o risco futuro, aplique medidas de endurecimento: limite o acesso à API REST quando não for necessário, implemente autenticação de dois fatores em contas de alto privilégio, imponha senhas robustas e nomes de usuário não triviais, remova plugins e temas sem uso, e implantação um firewall a nível de aplicação ou fornecedor de hospedagem que possa bloquear tentativas massivas de exploração. O guia oficial de endurecimento do WordPress é um bom ponto de partida: Hardening WordPress – WordPress.org.
Finalmente, documente o incidente e, se não tiver experiência interna suficiente, contacte o provedor de hospedagem ou uma equipe de resposta a incidentes para realizar uma análise forense, conter e erradicar qualquer persistência. Actualizar agora mesmo continua a ser a acção mais eficaz para cortar a campanha em curso; adiar a actualização aumenta drasticamente a probabilidade de sofrer uma intrusão que exija horas de limpeza e potencial perda de dados ou reputação.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...