Avviso di sicurezza Burst Statistics
Se avete ricevuto un’email da parte mia che vi indirizza a questa pagina, è perché il vostro
sito sembra utilizzare una versione vulnerabile di Burst Statistics (il plugin WordPress
burst-statistics, un plugin di analisi rispettoso della privacy). Questa pagina spiega perché è
importante e come correggere il problema.
Questo avviso riguarda CVE-2026-8181, una falla critica, attivamente sfruttata (CVSS 9.8), che consente a un aggressore di impossessarsi del vostro sito come amministratore senza effettuare l’accesso. Interessa un intervallo ristretto di release, le versioni 3.4.0, 3.4.1 e 3.4.1.1, ed è corretta nella 3.4.2. Le versioni precedenti alla 3.4.0 non sono mai state interessate. Se utilizzate una versione interessata, aggiornate Burst Statistics alla 3.4.2 o successiva il prima possibile. Poiché questa falla consegna a un aggressore il pieno controllo del sito e viene sfruttata su vasta scala, dovreste inoltre controllare eventuali segni di accesso non autorizzato (vedete Se utilizzavate una versione interessata più sotto).
Questa è una falla di un plugin, non del nucleo di WordPress. Un WordPress pienamente aggiornato non vi protegge se il plugin Burst Statistics stesso utilizza una versione interessata.
Questo messaggio è legittimo?
Sì. Si tratta di un avviso in buona fede, secondo il principio della divulgazione responsabile, da parte di un ricercatore di sicurezza indipendente. Non vi chiedo denaro, password o accesso al vostro sito, e non ho tentato di introdurmi in esso, di caricare alcunché o di sfruttare alcunché.
Tutto ciò che ho fatto è stato esaminare file pubblicamente visibili che il vostro sito fornisce
a ogni visitatore (allo stesso modo in cui la vostra homepage è pubblica) e annotare il numero
di versione che il plugin Burst Statistics pubblica nel suo file readme.txt pubblico. In
particolare non ho toccato la funzione vulnerabile, e nulla di questo controllo tocca i vostri
dati, la vostra area di amministrazione o alcuna parte privata del vostro sito.
Se desiderate verificare chi sono, consultate i recapiti in fondo a questa pagina e la pagina Informazioni.
Perché è importante
Burst Statistics è un plugin di analisi rispettoso della privacy molto diffuso (circa 200.000 installazioni attive). Nella versione 3.4.0 ha aggiunto un’integrazione con la dashboard di gestione remota MainWP, e il codice che autentica quelle richieste contiene un errore: verifica in modo scorretto il risultato della password applicativa di una richiesta in arrivo, così una richiesta che non porta alcuna password valida può comunque essere accettata.
L’effetto pratico è che un aggressore remoto che semplicemente conosce il nome utente di un qualsiasi amministratore del vostro sito può inviare una normale richiesta web che il plugin accetta come quell’amministratore, senza alcuna password e senza effettuare l’accesso. Questo conferisce all’aggressore tutto il potere di un account amministratore: può creare nuovi utenti amministratori, installare un plugin o un tema (un modo comune per collocare una backdoor), modificare i contenuti o leggere i dati.
La falla è stata valutata 9,8 su 10 (gravità critica). È stata scoperta dal team di ricerca di Wordfence, e Wordfence segnala che è attivamente sfruttata in rete su vasta scala, nell’ordine di migliaia di tentativi di attacco al giorno, con codice proof-of-concept pubblicamente disponibile. Se la mia email ha citato questo problema, significa che la versione segnalata dal vostro sito rientra nell’intervallo interessato. Non ho verificato se il vostro sito in particolare sia sfruttabile o già compromesso, ma solo che segnala una versione interessata.
La buona notizia: l’aggiornamento alla versione corretta chiude la falla, e l’aggiornamento è semplice.
Come verificare la vostra versione
Non dovete credermi sulla parola riguardo alla versione che state utilizzando.
Dal manifesto pubblico (nessun accesso necessario): aprite
vostrodominio.it/wp-content/plugins/burst-statistics/readme.txt in un browser. La riga
Stable tag: vicino all’inizio è la versione segnalata dalla vostra installazione di Burst
Statistics, ed è lo stesso file pubblico che ho letto.
Dall’area di amministrazione di WordPress (se avete accesso):
- Accedete alla vostra bacheca di WordPress (di solito all’indirizzo
vostrodominio.it/wp-admin). - Andate su Plugin poi Plugin installati.
- Cercate Burst Statistics e annotate la versione indicata sotto il suo nome.
Se la versione è 3.4.0, 3.4.1 o 3.4.1.1, utilizzate una versione interessata e dovreste aggiornare. Le versioni 3.4.2 e successive sono corrette, e le versioni precedenti alla 3.4.0 non sono mai state interessate.
Come aggiornare
Il percorso più sicuro è aggiornare tramite WordPress stesso, effettuando prima un backup:
- Eseguite il backup del vostro sito (file e database) prima di apportare modifiche. La maggior parte dei provider di hosting offre backup con un clic, oppure usate un plugin di backup per WordPress.
- Nell’amministrazione di WordPress, andate su Bacheca poi Aggiornamenti, oppure Plugin poi Plugin installati. Se un aggiornamento di Burst Statistics è elencato, installatelo da qui.
- Se nessun aggiornamento compare, potete scaricare l’ultima versione direttamente dalla pagina del plugin nella directory WordPress.org, Burst Statistics, e aggiornare tramite Plugin poi Aggiungi nuovo plugin poi Carica plugin.
- Dopo l’aggiornamento, confermate il nuovo numero di versione (3.4.2 o successiva) seguendo i passaggi sopra, e verificate che il vostro sito si carichi normalmente.
Già che ci siete, vale la pena confermare che il nucleo di WordPress e i vostri altri plugin siano aggiornati, poiché lo stesso principio vale per tutti.
Se utilizzavate una versione interessata
Poiché questa falla viene attivamente sfruttata per impossessarsi dei siti, un sito che utilizzava una versione interessata non dovrebbe presumere che il semplice aggiornamento sia sufficiente. L’aggiornamento rimuove la vulnerabilità, ma non annulla alcun accesso che un aggressore possa aver già ottenuto. Voi (o il vostro webmaster) dovreste verificarlo sul vostro sito:
- Esaminate i vostri account amministratore. In Utenti poi Tutti gli utenti, filtrate per Amministratore e rimuovete qualsiasi account che non riconoscete. Gli aggressori aggiungono comunemente un nuovo utente amministratore per mantenere l’accesso.
- Esaminate i plugin e i temi installati o modificati di recente. Cercate qualsiasi cosa non abbiate installato voi stessi e plugin con nomi generici o non familiari: un plugin o un tema fraudolento è un modo comune per collocare una backdoor.
- Esaminate le password applicative. Per ciascun utente (Utenti poi il Profilo dell’utente), controllate la sezione Application Passwords e revocate qualsiasi voce che non avete creato.
- Fate attenzione ad altri segnali. Nuovi contenuti o pagine inattesi, modifiche all’email di amministrazione o alle impostazioni dell’URL del sito, oppure attività pianificate non familiari meritano un approfondimento.
Se trovate prove di accesso non autorizzato, trattate il sito come compromesso: rimuovete eventuali utenti, plugin o temi fraudolenti, cambiate le vostre credenziali (amministrazione di WordPress, database e pannello di hosting) e valutate il ripristino da un backup noto come integro effettuato prima dell’intrusione. Se la vostra organizzazione dispone di un team di sicurezza IT, coinvolgetelo.
Voglio essere chiaro: non ho controllato il vostro sito alla ricerca di alcuno di questi indicatori, e non so se il vostro sito sia stato interessato. Questo elenco è qui affinché possiate controllare voi stessi.
Non ho un webmaster / sono bloccato
Se non siete la persona che gestisce il sito, inoltrate questa pagina a chi lo fa (il vostro sviluppatore web, la vostra agenzia o il vostro provider di hosting). Riconosceranno rapidamente i passaggi sopra.
Se gestite il sito da soli e vi bloccate, sarò lieto di aiutarvi a orientarvi nella direzione giusta senza alcun costo. Contattatemi usando i recapiti sottostanti.
Contatti
Evan Harris, Ricercatore di sicurezza
- Email: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Contatto gli operatori riguardo a problemi come questo unicamente per aiutarli a mettere in sicurezza i loro siti. Se preferite non essere contattati di nuovo, ditemelo e rispetterò la vostra richiesta.
Riferimenti
Avvisi ufficiali e tracciamento
Fornitore / plugin