💻 Jorge Rossiter Tech News

Notícias de tecnologia atualizadas automaticamente

Falha crítica deixa 200 mil sites WordPress em risco de invasão

📅 15/05/2026 ⏱️ 23:00
📡 Fonte: Tecmundo 🏷️ Segurança 🤖 Auto
Falha crítica deixa 200 mil sites WordPress em risco de invasão

📸 Créditos da imagem: reprodução / Tecmundo

Uma vulnerabilidade crítica no plugin Burst Statistics permite que hackers criem contas de administrador em sites WordPress sem precisar de senha.

Como funciona o ataque

O invasor precisa apenas do nome de usuário de um administrador do site.

  • Essas informações podem aparecer em posts, comentários ou até em requisições públicas da API.
  • Os atacantes também podem usar técnicas de força bruta para adivinhar os nomes.

Com o username em mãos, o hacker envia uma requisição REST API para endpoints do WordPress como /wp-json/wp/v2/users.

Ele adiciona um cabeçalho de autenticação básica com o nome do admin e qualquer senha inventada.

O plugin interpreta essa tentativa incorretamente e concede acesso administrativo.

A causa técnica da falha

O problema está na integração do Burst Statistics com a plataforma MainWP.

O plugin implementou um esquema de autenticação HTTP customizado que valida senhas de aplicativo do WordPress.

A função is_mainwp_authenticated() chama a função nativa wp_authenticate_application_password() para verificar as credenciais.

O erro acontece na interpretação do resultado dessa verificação.

O código trata qualquer retorno que não seja WP_Error como autenticação bem-sucedida.

Mas o WordPress também pode retornar null em alguns casos.

O plugin interpreta esse null como se a autenticação tivesse funcionado.

Ataques já começaram

A Wordfence alertou que esperava ataques direcionados contra essa vulnerabilidade.

O aviso se confirmou rapidamente.

A plataforma bloqueou mais de 7.400 tentativas de exploração da CVE-2026-8181 apenas nas últimas 24 horas.

Situação atual e recomendações

As estatísticas do WordPress. org mostram 85 mil downloads desde o lançamento da versão corrigida.

Assumindo que todos foram para a versão 3.4.2, ainda restam aproximadamente 115 mil sites expostos a ataques de tomada de conta administrativa.

Usuários do Wordfence Premium, Care e Response receberam proteção de firewall desde 8 de maio.

Os usuários da versão gratuita receberão a mesma proteção apenas em 7 de junho de 2026.

A atualização para a versão mais recente do plugin é crítica e deve ser feita imediatamente.

Sites que não puderem atualizar rapidamente devem considerar desabilitar temporariamente o Burst Statistics.

📰 Leia a notícia completa em: Tecmundo »

⚖️ Direitos Autorais: Este site utiliza conteúdo agregado automaticamente de fontes públicas. Todas as imagens possuem crédito e fonte indicados conforme exigido pela legislação brasileira de direitos autorais (Lei 9.610/98).