Si vous avez reçu un e-mail de ma part vous renvoyant à cette page, c’est parce que votre site web semble utiliser une version vulnérable de Burst Statistics (l’extension WordPress burst-statistics, une extension d’analytique respectueuse de la vie privée). Cette page explique pourquoi cela compte et comment y remédier.

Cet avis concerne CVE-2026-8181, une faille critique (CVSS 9.8), activement exploitée, qui permet à un attaquant de prendre le contrôle de votre site en tant qu’administrateur sans se connecter. Elle affecte une plage restreinte de versions (les versions 3.4.0, 3.4.1 et 3.4.1.1) et est corrigée dans 3.4.2. Les versions antérieures à 3.4.0 n’ont jamais été affectées. Si vous utilisez une version concernée, mettez à jour Burst Statistics vers 3.4.2 ou une version ultérieure dès que possible. Comme cette faille donne à un attaquant le contrôle total du site et est exploitée à grande échelle, vous devriez également rechercher des signes d’accès non autorisé (voir Si vous utilisiez une version concernée ci-dessous).

Il s’agit d’une faille d’une extension, et non du noyau de WordPress. Un WordPress parfaitement à jour ne vous protège pas si l’extension Burst Statistics elle-même est sur une version concernée.

Ce message est-il légitime ?

Oui. Il s’agit d’un avis de bonne foi, selon le principe de la divulgation responsable, émanant d’un chercheur en sécurité indépendant. Je ne vous demande pas d’argent, de mots de passe ni d’accès à votre site, et je n’ai pas tenté de m’y introduire, de téléverser quoi que ce soit ni d’exploiter quoi que ce soit.

Je n’ai fait que consulter des fichiers publiquement visibles que votre site web fournit à chaque visiteur (de la même manière que votre page d’accueil est publique) et noter le numéro de version que l’extension Burst Statistics publie dans son fichier readme.txt public. Je n’ai spécifiquement pas touché à la fonctionnalité vulnérable, et rien dans cette vérification ne touche à vos données, à votre zone d’administration ni à aucune partie privée de votre site.

Si vous souhaitez vérifier qui je suis, consultez les coordonnées au bas de cette page et la page À propos.

Pourquoi cela compte

Burst Statistics est une extension d’analytique respectueuse de la vie privée très largement utilisée (environ 200 000 installations actives). Dans la version 3.4.0, elle a ajouté une intégration avec le tableau de bord de gestion à distance MainWP, et le code qui authentifie ces requêtes contient une erreur : il vérifie de manière incorrecte le résultat du mot de passe d’application d’une requête entrante, de sorte qu’une requête ne comportant aucun mot de passe valide peut tout de même être acceptée.

Concrètement, un attaquant distant qui connaît simplement le nom d’utilisateur de n’importe quel administrateur de votre site peut envoyer une seule requête web ordinaire que l’extension accepte comme provenant de cet administrateur, sans mot de passe et sans se connecter. Cela confère à l’attaquant tout le pouvoir d’un compte administrateur : il peut créer de nouveaux utilisateurs administrateurs, installer une extension ou un thème (un moyen courant de planter une porte dérobée), modifier le contenu ou lire des données.

La faille a reçu un score de 9,8 sur 10 (sévérité critique). Elle a été découverte par l’équipe de recherche de Wordfence, et Wordfence signale qu’elle est activement exploitée dans la nature à grande échelle, de l’ordre de milliers de tentatives d’attaque par jour, avec du code de démonstration (proof-of-concept) accessible au public. Si mon e-mail a cité ce problème, cela signifie que la version signalée par votre site entre dans la plage concernée. Je n’ai pas testé si votre site en particulier est exploitable ou déjà compromis, seulement qu’il signale une version concernée.

La bonne nouvelle : la mise à jour vers la version corrigée comble la faille, et la mise à jour est simple.

Comment vérifier votre version

Vous n’êtes pas obligé de me croire sur parole quant à la version que vous utilisez.

Depuis le manifeste public (aucune connexion nécessaire) : ouvrez votredomaine.com/wp-content/plugins/burst-statistics/readme.txt dans un navigateur. La ligne Stable tag: située près du haut est la version signalée par votre installation de Burst Statistics, et il s’agit du même fichier public que celui que j’ai lu.

Depuis la zone d’administration WordPress (si vous y avez accès) :

  1. Connectez-vous à votre tableau de bord WordPress (généralement à l’adresse votredomaine.com/wp-admin).
  2. Allez dans Extensions puis Extensions installées.
  3. Recherchez Burst Statistics et notez la version affichée sous son nom.

Si la version est 3.4.0, 3.4.1 ou 3.4.1.1, vous utilisez une version concernée et vous devriez mettre à jour. Les versions 3.4.2 et ultérieures sont corrigées, et les versions antérieures à 3.4.0 n’ont jamais été affectées.

Comment mettre à jour

La voie la plus sûre consiste à effectuer la mise à jour via WordPress lui-même, et à réaliser une sauvegarde au préalable :

  1. Sauvegardez votre site (fichiers et base de données) avant d’apporter des modifications. La plupart des hébergeurs proposent des sauvegardes en un clic, ou utilisez une extension de sauvegarde WordPress.
  2. Dans l’administration WordPress, allez dans Tableau de bord puis Mises à jour, ou Extensions puis Extensions installées. Si une mise à jour de Burst Statistics est répertoriée, installez-la à partir d’ici.
  3. Si aucune mise à jour n’apparaît, vous pouvez obtenir la dernière version directement depuis la page de l’extension sur l’annuaire WordPress.org, Burst Statistics, et mettre à jour via Extensions puis Ajouter une extension puis Téléverser une extension.
  4. Après la mise à jour, confirmez le nouveau numéro de version (3.4.2 ou ultérieure) en suivant les étapes ci-dessus, et vérifiez que votre site se charge normalement.

Tant que vous y êtes, il vaut la peine de confirmer que le noyau de WordPress et vos autres extensions sont à jour, car le même principe s’applique à tous.

Si vous utilisiez une version concernée

Comme cette faille est activement exploitée pour prendre le contrôle des sites, un site qui a utilisé une version concernée ne devrait pas présumer qu’une simple mise à jour suffit. La mise à jour supprime la vulnérabilité, mais elle n’annule pas un éventuel accès qu’un attaquant aurait déjà pu obtenir. Vous (ou votre webmaster) devriez vérifier cela sur votre propre site :

  • Examinez vos comptes administrateur. Dans Utilisateurs puis Tous les utilisateurs, filtrez par Administrateur et supprimez tout compte que vous ne reconnaissez pas. Les attaquants ajoutent couramment un nouvel utilisateur administrateur pour conserver l’accès.
  • Examinez les extensions et thèmes récemment installés ou modifiés. Recherchez tout ce que vous n’avez pas installé vous-même, ainsi que les extensions aux noms génériques ou inconnus : une extension ou un thème malveillant est un moyen courant de planter une porte dérobée.
  • Examinez les mots de passe d’application. Pour chaque utilisateur (Utilisateurs puis le Profil de l’utilisateur), vérifiez la section Mots de passe d’application et révoquez toute entrée que vous n’avez pas créée.
  • Surveillez d’autres signes. Un nouveau contenu ou de nouvelles pages inattendus, des modifications de l’adresse e-mail d’administration ou des paramètres d’URL du site, ou des tâches planifiées inconnues méritent d’être examinés.

Si vous trouvez des preuves d’un accès non autorisé, considérez le site comme compromis : supprimez tous les utilisateurs, extensions ou thèmes malveillants, changez tous vos identifiants (administration WordPress, base de données et panneau d’hébergement), et envisagez une restauration à partir d’une sauvegarde connue comme saine, effectuée avant l’intrusion. Si votre organisation dispose d’une équipe de sécurité informatique, associez-la à la démarche.

Je tiens à être clair : je n’ai pas vérifié la présence de l’un de ces indicateurs sur votre site, et je ne sais pas si votre site a été affecté. Cette liste est fournie ici pour que vous puissiez vérifier par vous-même.

Je n’ai pas de webmaster / je suis bloqué

Si vous n’êtes pas la personne qui gère le site, veuillez transférer cette page à celle qui s’en charge (votre développeur web, votre agence ou votre hébergeur). Elle reconnaîtra rapidement les étapes ci-dessus.

Si vous gérez le site vous-même et que vous êtes bloqué, je me ferai un plaisir de vous aiguiller dans la bonne direction, sans frais. Contactez-moi à l’aide des coordonnées ci-dessous.

Contact

Evan Harris, chercheur en sécurité

Je contacte les exploitants au sujet de problèmes comme celui-ci uniquement pour les aider à sécuriser leurs sites. Si vous préférez ne plus être contacté, faites-le-moi simplement savoir et je le respecterai.

Références

Avis officiels et suivi

Éditeur / extension