Wenn Sie eine E-Mail von mir erhalten haben, die Sie auf diese Seite verweist, dann deshalb, weil Ihre Website offenbar eine verwundbare Version von Burst Statistics (dem WordPress-Plugin burst-statistics, einem datenschutzfreundlichen Analyse-Plugin) einsetzt. Diese Seite erklärt, warum das wichtig ist und wie Sie es beheben.

Dieser Hinweis betrifft CVE-2026-8181, eine kritische, aktiv ausgenutzte Schwachstelle (CVSS 9.8), die es einem Angreifer ermöglicht, Ihre Website als Administrator ohne Anmeldung zu übernehmen. Sie betrifft einen engen Bereich von Versionen, die Versionen 3.4.0, 3.4.1 und 3.4.1.1, und ist in 3.4.2 behoben. Versionen vor 3.4.0 waren nie betroffen. Wenn Sie eine betroffene Version einsetzen, aktualisieren Sie Burst Statistics so bald wie möglich auf 3.4.2 oder neuer. Da diese Schwachstelle einem Angreifer die vollständige Kontrolle über die Website verschafft und in großem Umfang ausgenutzt wird, sollten Sie außerdem auf Anzeichen unbefugten Zugriffs prüfen (siehe Wenn Sie eine betroffene Version genutzt haben weiter unten).

Dies ist eine Schwachstelle eines Plugins, nicht des WordPress-Kerns. Ein vollständig aktuelles WordPress schützt Sie nicht, wenn das Plugin Burst Statistics selbst auf einer betroffenen Version ist.

Ist diese Nachricht seriös?

Ja. Dies ist ein Hinweis nach Treu und Glauben im Sinne der verantwortungsvollen Offenlegung von einem unabhängigen Sicherheitsforscher. Ich bitte Sie nicht um Geld, Passwörter oder Zugang zu Ihrer Website, und ich habe nicht versucht, in sie einzudringen, etwas hochzuladen oder etwas auszunutzen.

Ich habe lediglich öffentlich sichtbare Dateien betrachtet, die Ihre Website jedem Besucher bereitstellt (so wie auch Ihre Startseite öffentlich ist), und die Versionsnummer notiert, die das Plugin Burst Statistics in seiner öffentlichen readme.txt-Datei veröffentlicht. Die verwundbare Funktion habe ich ausdrücklich nicht berührt, und nichts an dieser Prüfung berührt Ihre Daten, Ihren Administrationsbereich oder irgendeinen privaten Teil Ihrer Website.

Wenn Sie überprüfen möchten, wer ich bin, sehen Sie sich die Kontaktdaten am Ende dieser Seite und die Über-Seite an.

Warum das wichtig ist

Burst Statistics ist ein weit verbreitetes, datenschutzfreundliches Analyse-Plugin (rund 200.000 aktive Installationen). In Version 3.4.0 wurde eine Integration mit dem Fernverwaltungs-Dashboard MainWP hinzugefügt, und der Code, der diese Anfragen authentifiziert, enthält einen Fehler: Er prüft das Ergebnis des Anwendungspassworts einer eingehenden Anfrage falsch, sodass eine Anfrage, die kein gültiges Passwort trägt, dennoch akzeptiert werden kann.

Der praktische Effekt ist, dass ein entfernter Angreifer, der einfach den Benutzernamen irgendeines Administrators auf Ihrer Website kennt, eine gewöhnliche Web-Anfrage senden kann, die das Plugin als dieser Administrator akzeptiert: ohne Passwort und ohne Anmeldung. Das verschafft dem Angreifer die volle Macht eines Administratorkontos: Er kann neue Admin-Benutzer anlegen, ein Plugin oder Theme installieren (ein verbreiteter Weg, eine Hintertür zu platzieren), Inhalte ändern oder Daten lesen.

Die Schwachstelle wurde mit 9,8 von 10 bewertet (kritische Schwere). Sie wurde vom Forschungsteam von Wordfence entdeckt, und Wordfence berichtet, dass sie aktiv in freier Wildbahn und in großem Umfang ausgenutzt wird, in der Größenordnung von Tausenden Angriffsversuchen pro Tag, wobei öffentlicher Proof-of-Concept-Code verfügbar ist. Wenn meine E-Mail dieses Problem genannt hat, bedeutet das, dass die Version, die Ihre Website meldet, in den betroffenen Bereich fällt. Ich habe nicht getestet, ob Ihre konkrete Website ausnutzbar oder bereits kompromittiert ist, sondern nur, dass sie eine betroffene Version meldet.

Die gute Nachricht: Ein Update auf die behobene Version schließt die Lücke, und das Update ist unkompliziert.

So prüfen Sie Ihre Version

Sie müssen mir nicht glauben, welche Version Sie einsetzen.

Aus dem öffentlichen Manifest (keine Anmeldung nötig): öffnen Sie ihredomain.de/wp-content/plugins/burst-statistics/readme.txt in einem Browser. Die Zeile Stable tag: nahe dem Anfang ist die Version, die Ihre Burst-Statistics-Installation meldet, und dies ist dieselbe öffentliche Datei, die ich gelesen habe.

Aus dem WordPress-Administrationsbereich (falls Sie Zugang haben):

  1. Melden Sie sich in Ihrem WordPress-Dashboard an (üblicherweise unter ihredomain.de/wp-admin).
  2. Gehen Sie zu Plugins dann Installierte Plugins.
  3. Suchen Sie nach Burst Statistics und notieren Sie die unter dem Namen angezeigte Version.

Wenn die Version 3.4.0, 3.4.1 oder 3.4.1.1 ist, setzen Sie eine betroffene Version ein und sollten aktualisieren. 3.4.2 und neuer sind behoben, und Versionen vor 3.4.0 waren nie betroffen.

So aktualisieren Sie

Der sicherste Weg ist die Aktualisierung über WordPress selbst, und zwar nach einer Sicherung:

  1. Sichern Sie Ihre Website (Dateien und Datenbank), bevor Sie Änderungen vornehmen. Die meisten Hosting-Anbieter bieten Ein-Klick-Sicherungen an, oder Sie verwenden ein WordPress-Backup-Plugin.
  2. Gehen Sie in der WordPress-Administration zu Dashboard dann Aktualisierungen, oder Plugins dann Installierte Plugins. Wenn ein Burst-Statistics-Update aufgeführt ist, installieren Sie es von hier aus.
  3. Wenn dort kein Update erscheint, können Sie die aktuelle Version direkt von der Seite des Plugins im WordPress.org-Verzeichnis beziehen, Burst Statistics, und über Plugins dann Plugin installieren dann Plugin hochladen aktualisieren.
  4. Bestätigen Sie nach dem Update die neue Versionsnummer (3.4.2 oder neuer) anhand der obigen Schritte und prüfen Sie, ob Ihre Website normal lädt.

Wenn Sie schon dabei sind, lohnt es sich zu bestätigen, dass WordPress-Kern und Ihre übrigen Plugins aktuell sind, denn dasselbe Prinzip gilt für alle.

Wenn Sie eine betroffene Version genutzt haben

Da diese Schwachstelle aktiv ausgenutzt wird, um Websites zu übernehmen, sollte eine Website, die eine betroffene Version einsetzte, nicht davon ausgehen, dass ein bloßes Update ausreicht. Das Update beseitigt die Schwachstelle, aber es macht nicht rückgängig, welchen Zugang ein Angreifer möglicherweise bereits erlangt hat. Sie (oder Ihr Webmaster) sollten das auf Ihrer eigenen Website prüfen:

  • Überprüfen Sie Ihre Administratorkonten. Filtern Sie unter Benutzer dann Alle Benutzer nach Administrator und entfernen Sie jedes Konto, das Sie nicht wiedererkennen. Angreifer fügen häufig einen neuen Admin-Benutzer hinzu, um den Zugang zu behalten.
  • Überprüfen Sie kürzlich installierte oder geänderte Plugins und Themes. Suchen Sie nach allem, was Sie nicht selbst installiert haben, und nach Plugins mit generischen oder unbekannten Namen: ein schädliches Plugin oder Theme ist ein verbreiteter Weg, eine Hintertür zu platzieren.
  • Überprüfen Sie die Anwendungspasswörter. Prüfen Sie für jeden Benutzer (Benutzer dann das Profil des Benutzers) den Abschnitt Anwendungspasswörter und widerrufen Sie jeden Eintrag, den Sie nicht erstellt haben.
  • Achten Sie auf weitere Anzeichen. Unerwartete neue Inhalte oder Seiten, Änderungen an der Admin-E-Mail oder an den Einstellungen der Website-URL oder unbekannte geplante Aufgaben sind eine Untersuchung wert.

Wenn Sie Hinweise auf unbefugten Zugriff finden, behandeln Sie die Website als kompromittiert: entfernen Sie alle schädlichen Benutzer, Plugins oder Themes, wechseln Sie Ihre Zugangsdaten (WordPress-Administration, Datenbank und Hosting-Panel) und ziehen Sie in Betracht, aus einer als sauber bekannten Sicherung wiederherzustellen, die vor dem Einbruch erstellt wurde. Wenn Ihre Organisation ein IT-Sicherheitsteam hat, beziehen Sie es mit ein.

Um es klar zu sagen: Ich habe Ihre Website nicht auf eines dieser Anzeichen geprüft, und ich weiß nicht, ob Ihre Website betroffen war. Diese Liste steht hier, damit Sie selbst nachsehen können.

Ich habe keinen Webmaster / ich komme nicht weiter

Wenn Sie nicht die Person sind, die die Website betreut, leiten Sie diese Seite bitte an diejenige Person weiter, die das tut (Ihr Webentwickler, Ihre Agentur oder Ihr Hosting-Anbieter). Sie wird die obigen Schritte schnell wiedererkennen.

Wenn Sie die Website selbst betreuen und nicht weiterkommen, helfe ich Ihnen gerne kostenlos, in die richtige Richtung zu finden. Melden Sie sich über die Kontaktdaten unten.

Kontakt

Evan Harris, Sicherheitsforscher

Ich wende mich bei Problemen wie diesem ausschließlich deshalb an Betreiber, um ihnen zu helfen, ihre Websites abzusichern. Wenn Sie nicht erneut kontaktiert werden möchten, teilen Sie mir das einfach mit, und ich werde das respektieren.

Quellen

Offizielle Hinweise und Nachverfolgung

Hersteller / Plugin