Pokud jste ode mne dostali e-mail, který vás odkázal na tuto stránku, pak proto, že váš web zřejmě používá zranitelnou verzi pluginu Burst Statistics (WordPressový plugin burst-statistics, plugin pro analytiku šetrnou k soukromí). Tato stránka vysvětluje, proč na tom záleží a jak to opravit.

Toto upozornění se týká CVE-2026-8181, kritické, aktivně zneužívané zranitelnosti (CVSS 9.8), která útočníkovi umožňuje převzít váš web jako administrátor bez přihlášení. Postihuje úzký rozsah vydání, verze 3.4.0, 3.4.1 a 3.4.1.1, a je opravena ve verzi 3.4.2. Verze před 3.4.0 nebyly nikdy postiženy. Pokud používáte dotčenou verzi, aktualizujte Burst Statistics na 3.4.2 nebo novější co nejdříve. Protože tato zranitelnost předává útočníkovi plnou kontrolu nad webem a je zneužívána ve velkém měřítku, měli byste také zkontrolovat příznaky neoprávněného přístupu (viz Pokud jste používali dotčenou verzi níže).

Jde o zranitelnost pluginu, nikoli jádra WordPressu. Plně aktuální WordPress vás neochrání, pokud je samotný plugin Burst Statistics na dotčené verzi.

Je tato zpráva důvěryhodná?

Ano. Jde o upozornění v dobré víře podle zásad zodpovědného zveřejňování od nezávislého bezpečnostního výzkumníka. Nežádám vás o peníze, hesla ani přístup k vašemu webu a nepokoušel jsem se do něj proniknout, cokoli nahrát ani cokoli zneužít.

Pouze jsem se podíval na veřejně viditelné soubory, které váš web poskytuje každému návštěvníkovi (stejně jako je veřejná vaše úvodní stránka), a zaznamenal jsem číslo verze, které plugin Burst Statistics zveřejňuje ve svém veřejném souboru readme.txt. Zranitelné funkce jsem se výslovně nedotkl a nic na této kontrole se nedotýká vašich dat, vaší administrace ani žádné soukromé části vašeho webu.

Pokud si chcete ověřit, kdo jsem, podívejte se na kontaktní údaje v dolní části této stránky a na stránku O této stránce.

Proč na tom záleží

Burst Statistics je velmi rozšířený analytický plugin šetrný k soukromí (kolem 200 000 aktivních instalací). Ve verzi 3.4.0 přidal integraci s dashboardem pro vzdálenou správu MainWP a kód, který tyto požadavky autentizuje, obsahuje chybu: nesprávně kontroluje výsledek aplikačního hesla příchozího požadavku, takže požadavek, který nenese žádné platné heslo, může být přesto přijat.

Praktickým důsledkem je, že vzdálený útočník, který pouze zná uživatelské jméno kteréhokoli administrátora na vašem webu, může odeslat jediný běžný webový požadavek, který plugin přijme jako od tohoto administrátora, a to bez hesla a bez přihlášení. To útočníkovi dává plnou moc administrátorského účtu: může vytvářet nové administrátory, nainstalovat plugin nebo šablonu (běžný způsob, jak nastražit zadní vrátka), měnit obsah nebo číst data.

Zranitelnost byla ohodnocena 9,8 z 10 (kritická závažnost). Objevil ji výzkumný tým Wordfence a Wordfence hlásí, že je aktivně zneužívána v reálném provozu ve velkém měřítku, řádově tisíce pokusů o útok denně, přičemž je k dispozici veřejný proof-of-concept kód. Pokud můj e-mail tento problém uváděl, znamená to, že verze, kterou váš web hlásí, spadá do dotčeného rozsahu. Netestoval jsem, zda je konkrétně váš web zneužitelný nebo již napadený, pouze to, že hlásí dotčenou verzi.

Dobrá zpráva: aktualizace na opravenou verzi tuto díru uzavře a aktualizace je jednoduchá.

Jak zkontrolovat svou verzi

Nemusíte mi věřit, jakou verzi používáte.

Z veřejného manifestu (bez přihlášení): otevřete v prohlížeči vasedomena.cz/wp-content/plugins/burst-statistics/readme.txt. Řádek Stable tag: blízko horní části je verze, kterou vaše instalace Burst Statistics hlásí, a jde o stejný veřejný soubor, který jsem četl.

Z administrace WordPressu (pokud máte přístup):

  1. Přihlaste se do administrace WordPressu (obvykle na adrese vasedomena.cz/wp-admin).
  2. Přejděte na Pluginy poté Instalované pluginy.
  3. Vyhledejte Burst Statistics a poznamenejte si verzi uvedenou pod jeho názvem.

Pokud je verze 3.4.0, 3.4.1 nebo 3.4.1.1, používáte dotčenou verzi a měli byste aktualizovat. 3.4.2 a novější jsou opravené a verze před 3.4.0 nebyly nikdy postiženy.

Jak aktualizovat

Nejbezpečnější cestou je aktualizace přímo přes WordPress, a to po předchozí záloze:

  1. Zazálohujte svůj web (soubory a databázi) před provedením změn. Většina poskytovatelů hostingu nabízí zálohy na jedno kliknutí, případně použijte zálohovací plugin pro WordPress.
  2. V administraci WordPressu přejděte na Nástěnka poté Aktualizace, nebo Pluginy poté Instalované pluginy. Pokud je aktualizace Burst Statistics uvedena, nainstalujte ji odsud.
  3. Pokud se žádná aktualizace neobjeví, můžete si nejnovější vydání stáhnout přímo ze stránky pluginu v adresáři WordPress.org, Burst Statistics, a aktualizovat přes Pluginy poté Přidat nový plugin poté Nahrát plugin.
  4. Po aktualizaci potvrďte nové číslo verze (3.4.2 nebo novější) podle výše uvedených kroků a zkontrolujte, že se váš web běžně načítá.

Když už jste u toho, vyplatí se ověřit, že jsou aktuální i jádro WordPressu a vaše ostatní pluginy, protože stejná zásada platí pro všechny.

Pokud jste používali dotčenou verzi

Protože je tato zranitelnost aktivně zneužívána k přebírání webů, web, který provozoval dotčenou verzi, by neměl předpokládat, že pouhá aktualizace stačí. Aktualizace zranitelnost odstraní, ale nevrátí zpět žádný přístup, který již útočník mohl získat. Vy (nebo váš webmaster) byste to měli na svém vlastním webu zkontrolovat:

  • Zkontrolujte své administrátorské účty. V Uživatelé poté Všichni uživatelé filtrujte podle Administrátor a odstraňte každý účet, který nepoznáváte. Útočníci běžně přidávají nového administrátora, aby si udrželi přístup.
  • Zkontrolujte nedávno nainstalované nebo změněné pluginy a šablony. Hledejte cokoli, co jste sami neinstalovali, a pluginy s obecnými nebo neznámými názvy: podvržený plugin nebo šablona jsou běžným způsobem, jak nastražit zadní vrátka.
  • Zkontrolujte aplikační hesla. U každého uživatele (Uživatelé poté Profil uživatele) zkontrolujte sekci Aplikační hesla a zrušte každou položku, kterou jste nevytvořili.
  • Sledujte další příznaky. Neočekávaný nový obsah nebo stránky, změny administrátorského e-mailu nebo nastavení URL webu či neznámé naplánované úlohy stojí za prozkoumání.

Pokud najdete důkazy o neoprávněném přístupu, považujte web za napadený: odstraňte jakékoli podvržené uživatele, pluginy nebo šablony, změňte své přístupové údaje (administrace WordPressu, databáze a hostingový panel) a zvažte obnovení ze zálohy o níž je známo, že je čistá, pořízené před vniknutím. Pokud má vaše organizace tým pro IT bezpečnost, zapojte ho.

Chci to říct jasně: váš web jsem na žádný z těchto příznaků nekontroloval a nevím, zda byl váš web postižen. Tento seznam je zde, abyste si mohli zkontrolovat sami.

Nemám webmastera / nevím si rady

Pokud nejste tou osobou, která web spravuje, přepošlete prosím tuto stránku tomu, kdo to dělá (vašemu vývojáři webu, agentuře nebo poskytovateli hostingu). Výše uvedené kroky rychle rozpozná.

Pokud web spravujete sami a zaseknete se, rád vám zdarma pomohu nasměrovat se správným směrem. Ozvěte se pomocí kontaktních údajů níže.

Kontakt

Evan Harris, bezpečnostní výzkumník

Na provozovatele se s problémy, jako je tento, obracím výhradně proto, abych jim pomohl zabezpečit jejich weby. Pokud si nepřejete být znovu kontaktováni, stačí mi to sdělit a budu to respektovat.

Zdroje

Oficiální upozornění a evidence

Dodavatel / plugin