Eine kritische Burst-Statistics-Schwachstelle wird derzeit aktiv ausgenutzt und setzt tausende WordPress-Websites dem Risiko einer Übernahme von Administratorkonten aus.
Die Schwachstelle betrifft Burst Statistics, ein datenschutzorientiertes Analyse-Plugin, das auf mehr als 200.000 WordPress-Websites eingesetzt wird. Angreifer können den Fehler ausnutzen, um sich bei REST-API-Anfragen als bekannte Administratornutzer auszugeben.
Das Problem wird unter CVE-2026-8181 geführt. Forscher erklärten, dass die Schwachstelle am 23. April 2026 mit Version 3.4.0 in das Plugin eingeführt wurde. Der anfällige Code war auch in Version 3.4.1 enthalten.
Angreifer können sich als Administratoren ausgeben
Die Burst-Statistics-Schwachstelle entsteht durch eine fehlerhafte Verarbeitung der WordPress-Authentifizierung über Anwendungspasswörter.
Forscher erklärten, dass Angreifer lediglich einen gültigen Administrator-Benutzernamen kennen müssen. Anschließend können sie eine speziell gestaltete Anfrage mit einem beliebigen Passwort im Authentifizierungs-Header senden.
Das anfällige Plugin könnte den fehlgeschlagenen Authentifizierungsversuch anschließend als gültig behandeln. Dadurch kann der Angreifer während der REST-API-Anfrage als Administrator agieren.
Im schlimmsten Fall könnten Angreifer sogar ein neues Administratorkonto ohne gültige Zugangsdaten erstellen.
Kompromittierte Websites sind erheblichen Risiken ausgesetzt
Administratorzugriff verschafft Angreifern weitreichende Kontrolle über eine WordPress-Website. Sie könnten auf private Datenbanken zugreifen, Backdoors installieren, Besucher umleiten, schädliche Inhalte veröffentlichen oder Malware verbreiten.
Das Risiko ist besonders hoch, da Administrator-Benutzernamen häufig über Blogbeiträge, Kommentare, öffentliche API-Antworten oder einfache Erratungsversuche offengelegt werden können.
Forscher warnten davor, dass die Angriffe bereits begonnen haben. Wordfence soll Berichten zufolge innerhalb von 24 Stunden mehr als 7.400 Ausnutzungsversuche blockiert haben.
Website-Betreiber sollten sofort aktualisieren
Website-Betreiber, die Burst Statistics verwenden, sollten sofort auf Version 3.4.2 aktualisieren. Die gepatchte Version wurde am 12. Mai 2026 veröffentlicht.
Administratoren, die nicht sofort aktualisieren können, sollten das Plugin deaktivieren, bis die sichere Version installiert werden kann.
Website-Betreiber sollten außerdem Administratorkonten überprüfen, unbekannte Nutzer entfernen, aktuelle Plugin-Änderungen kontrollieren und nach verdächtigen Weiterleitungen oder Backdoors suchen.
Die Sicherheit von WordPress-Plugins bleibt ein wichtiges Angriffsziel
Die Burst-Statistics-Schwachstelle zeigt, warum die Sicherheit von WordPress-Plugins weiterhin eine dauerhafte Herausforderung für Website-Betreiber bleibt.
Angreifer handeln häufig sehr schnell, nachdem kritische Plugin-Schwachstellen öffentlich bekannt werden. Schwachstellen zur Umgehung der Authentifizierung sind besonders gefährlich, da sie normale Login-Schutzmechanismen umgehen und Angreifern direkte Kontrolle verschaffen können.
Der Vorfall zeigt außerdem, warum Website-Betreiber strikte Routinen für Plugin-Updates, Kontenüberwachung und regelmäßige Sicherheitsprüfungen benötigen.
Fazit
Die aktiv ausgenutzte Burst-Statistics-Schwachstelle stellt ein ernstes Risiko für WordPress-Websites dar, die anfällige Plugin-Versionen verwenden.
Da Angreifer potenziell Administratorzugriff ohne gültige Zugangsdaten erlangen können, sollten betroffene Website-Betreiber sofort aktualisieren, privilegierte Konten überprüfen und nach Anzeichen einer Kompromittierung suchen.
0 Kommentare zu „Burst-Statistics-Schwachstelle wird bei Angriffen auf WordPress-Administratoren ausgenutzt“