Biuletyn bezpieczeństwa Burst Statistics
Jeśli otrzymałeś ode mnie wiadomość e-mail kierującą Cię na tę stronę, to dlatego, że Twoja
witryna najwyraźniej korzysta z podatnej wersji Burst Statistics (wtyczki WordPress
burst-statistics, przyjaznej dla prywatności wtyczki analitycznej). Ta strona wyjaśnia,
dlaczego to ważne i jak temu zaradzić.
Ten biuletyn dotyczy CVE-2026-8181, krytycznej, aktywnie wykorzystywanej luki (CVSS 9.8), która pozwala atakującemu przejąć Twoją stronę jako administrator bez logowania. Dotyczy ona wąskiego zakresu wydań, wersji 3.4.0, 3.4.1 oraz 3.4.1.1, i została naprawiona w 3.4.2. Wersje przed 3.4.0 nigdy nie były objęte problemem. Jeśli korzystasz z wersji, której dotyczy problem, zaktualizuj Burst Statistics do 3.4.2 lub nowszej tak szybko, jak to możliwe. Ponieważ luka ta daje atakującemu pełną kontrolę nad stroną i jest wykorzystywana na dużą skalę, powinieneś również sprawdzić stronę pod kątem oznak nieuprawnionego dostępu (zobacz Jeśli korzystałeś z wersji, której dotyczy problem poniżej).
Jest to luka we wtyczce, a nie w rdzeniu WordPressa. W pełni aktualny WordPress nie chroni Cię, jeśli sama wtyczka Burst Statistics jest w wersji, której dotyczy problem.
Czy ta wiadomość jest wiarygodna?
Tak. Jest to powiadomienie w dobrej wierze, zgodne z zasadą odpowiedzialnego ujawniania, od niezależnego badacza bezpieczeństwa. Nie proszę Cię o pieniądze, hasła ani dostęp do Twojej strony, i nie próbowałem się do niej włamać, niczego przesłać ani niczego wykorzystać.
Jedyne, co zrobiłem, to obejrzenie publicznie widocznych plików, które Twoja witryna
udostępnia każdemu odwiedzającemu (tak samo jak publiczna jest Twoja strona główna), i
odnotowanie numeru wersji, który wtyczka Burst Statistics publikuje w swoim publicznym pliku
readme.txt. Świadomie nie dotknąłem podatnej funkcji i nic w tym sprawdzeniu nie dotyka
Twoich danych, Twojego panelu administracyjnego ani żadnej prywatnej części Twojej strony.
Jeśli chcesz zweryfikować, kim jestem, zobacz dane kontaktowe na dole tej strony oraz stronę O tej stronie.
Dlaczego to ważne
Burst Statistics to szeroko używana, przyjazna dla prywatności wtyczka analityczna (około 200 000 aktywnych instalacji). W wersji 3.4.0 dodano w niej integrację z pulpitem zdalnego zarządzania MainWP, a kod, który uwierzytelnia te żądania, zawiera błąd: niepoprawnie sprawdza wynik hasła aplikacji przychodzącego żądania, więc żądanie, które nie niesie żadnego ważnego hasła, i tak może zostać zaakceptowane.
Praktyczny skutek jest taki, że zdalny atakujący, który po prostu zna nazwę użytkownika dowolnego administratora na Twojej stronie, może wysłać jedno zwykłe żądanie sieciowe, które wtyczka akceptuje jako tego administratora, bez hasła i bez logowania. Daje to atakującemu pełne uprawnienia konta administratora: może tworzyć nowych użytkowników administracyjnych, zainstalować wtyczkę lub motyw (częsty sposób na umieszczenie backdoora), zmieniać treść lub odczytywać dane.
Lukę oceniono na 9,8 na 10 (krytyczna waga). Została odkryta przez zespół badawczy Wordfence, a Wordfence donosi, że jest aktywnie wykorzystywana w praktyce na dużą skalę, rzędu tysięcy prób ataku dziennie, przy dostępnym publicznie kodzie proof-of-concept. Jeśli moja wiadomość e-mail przywołała ten problem, oznacza to, że wersja, którą zgłasza Twoja strona, mieści się w zakresie, którego dotyczy problem. Nie testowałem, czy Twoja konkretna strona jest podatna na wykorzystanie lub już naruszona, a jedynie to, że zgłasza wersję, której dotyczy problem.
Dobra wiadomość: aktualizacja do naprawionej wersji zamyka lukę, a sama aktualizacja jest prosta.
Jak sprawdzić swoją wersję
Nie musisz wierzyć mi na słowo co do tego, z jakiej wersji korzystasz.
Z publicznego manifestu (bez logowania): otwórz w przeglądarce
twojadomena.pl/wp-content/plugins/burst-statistics/readme.txt. Wiersz Stable tag: blisko
początku to wersja, którą zgłasza Twoja instalacja Burst Statistics, i jest to ten sam
publiczny plik, który odczytałem.
Z panelu administracyjnego WordPress (jeśli masz dostęp):
- Zaloguj się do kokpitu WordPress (zwykle pod adresem
twojadomena.pl/wp-admin). - Przejdź do Wtyczki następnie Zainstalowane wtyczki.
- Znajdź Burst Statistics i odnotuj wersję pokazaną pod jego nazwą.
Jeśli wersja to 3.4.0, 3.4.1 lub 3.4.1.1, korzystasz z wersji, której dotyczy problem, i powinieneś zaktualizować. 3.4.2 i nowsze są naprawione, a wersje przed 3.4.0 nigdy nie były objęte problemem.
Jak zaktualizować
Najbezpieczniejsza droga to aktualizacja przez samego WordPressa, po uprzednim utworzeniu kopii zapasowej:
- Utwórz kopię zapasową swojej strony (pliki i baza danych) przed wprowadzeniem zmian. Większość dostawców hostingu oferuje kopie zapasowe jednym kliknięciem, albo skorzystaj z wtyczki do tworzenia kopii zapasowych WordPress.
- W panelu administracyjnym WordPress przejdź do Kokpit następnie Aktualizacje, albo Wtyczki następnie Zainstalowane wtyczki. Jeśli aktualizacja Burst Statistics jest na liście, zainstaluj ją stąd.
- Jeśli nie pojawi się żadna aktualizacja, możesz pobrać najnowsze wydanie bezpośrednio ze strony wtyczki w katalogu WordPress.org, Burst Statistics, i zaktualizować przez Wtyczki następnie Dodaj nową wtyczkę następnie Wyślij wtyczkę na serwer.
- Po aktualizacji potwierdź nowy numer wersji (3.4.2 lub nowszy) zgodnie z powyższymi krokami i sprawdź, czy Twoja strona wczytuje się jak zwykle.
Skoro już tam jesteś, warto potwierdzić, że rdzeń WordPress oraz pozostałe wtyczki są aktualne, ponieważ ta sama zasada dotyczy ich wszystkich.
Jeśli korzystałeś z wersji, której dotyczy problem
Ponieważ luka ta jest aktywnie wykorzystywana do przejmowania stron, strona, która korzystała z wersji objętej problemem, nie powinna zakładać, że sama aktualizacja wystarczy. Aktualizacja usuwa podatność, ale nie cofa dostępu, który atakujący mógł już uzyskać. Ty (lub Twój webmaster) powinniście to sprawdzić na swojej własnej stronie:
- Przejrzyj swoje konta administratorów. W Użytkownicy następnie Wszyscy użytkownicy przefiltruj według Administrator i usuń każde konto, którego nie rozpoznajesz. Atakujący często dodają nowego użytkownika administracyjnego, aby utrzymać dostęp.
- Przejrzyj niedawno zainstalowane lub zmodyfikowane wtyczki i motywy. Poszukaj wszystkiego, czego sam nie zainstalowałeś, oraz wtyczek o ogólnych lub nieznanych nazwach: podstawiona wtyczka lub motyw to częsty sposób na umieszczenie backdoora.
- Przejrzyj hasła aplikacji. Dla każdego użytkownika (Użytkownicy następnie Profil użytkownika) sprawdź sekcję Hasła aplikacji i cofnij każdy wpis, którego nie utworzyłeś.
- Zwracaj uwagę na inne oznaki. Nieoczekiwane nowe treści lub strony, zmiany w ustawieniach adresu e-mail administratora lub adresu URL witryny, albo nieznane zaplanowane zadania warto zbadać.
Jeśli znajdziesz dowody nieuprawnionego dostępu, potraktuj stronę jako naruszoną: usuń podstawionych użytkowników, wtyczki lub motywy, zmień wszystkie dane uwierzytelniające (administracja WordPress, baza danych i panel hostingu) i rozważ przywrócenie z pewnej, znanej jako czysta kopii zapasowej utworzonej przed włamaniem. Jeśli Twoja organizacja ma zespół bezpieczeństwa IT, włącz ich do sprawy.
Chcę to jasno powiedzieć: nie sprawdzałem Twojej strony pod kątem żadnego z tych wskaźników i nie wiem, czy Twoja strona była objęta problemem. Ta lista znajduje się tutaj, abyś mógł sprawdzić samodzielnie.
Nie mam webmastera / utknąłem
Jeśli nie jesteś osobą, która utrzymuje stronę, prześlij tę stronę temu, kto to robi (Twojemu deweloperowi, agencji lub dostawcy hostingu). Szybko rozpoznają powyższe kroki.
Jeśli sam utrzymujesz stronę i utkniesz, chętnie pomogę Ci wskazać właściwy kierunek, bezpłatnie. Skontaktuj się, korzystając z danych kontaktowych poniżej.
Kontakt
Evan Harris, badacz bezpieczeństwa
- E-mail: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Kontaktuję się w sprawach takich jak ta wyłącznie po to, by pomóc operatorom zabezpieczyć ich strony. Jeśli wolisz nie być więcej kontaktowany, po prostu daj mi znać, a uszanuję to.
Źródła
Oficjalne biuletyny i śledzenie
Producent / wtyczka