Dacă ați primit de la mine un e-mail care vă îndrumă către această pagină, este pentru că site-ul dumneavoastră pare să ruleze o versiune vulnerabilă a Burst Statistics (pluginul WordPress burst-statistics, un plugin de analiză respectuos cu confidențialitatea). Această pagină explică de ce contează acest lucru și cum se remediază.

Această notificare privește CVE-2026-8181, o vulnerabilitate critică, exploatată activ (CVSS 9.8), care permite unui atacator să preia controlul site-ului dumneavoastră ca administrator fără a se autentifica. Ea afectează un interval restrâns de versiuni, versiunile 3.4.0, 3.4.1 și 3.4.1.1, și este remediată în 3.4.2. Versiunile anterioare 3.4.0 nu au fost niciodată afectate. Dacă rulați o versiune afectată, actualizați Burst Statistics la 3.4.2 sau o versiune ulterioară cât mai curând posibil. Deoarece această vulnerabilitate oferă unui atacator controlul complet asupra site-ului și este exploatată pe scară largă, ar trebui de asemenea să verificați dacă există semne de acces neautorizat (consultați Dacă ați folosit o versiune afectată mai jos).

Aceasta este o vulnerabilitate a unui plugin, nu a nucleului WordPress. Un WordPress complet actualizat nu vă protejează dacă pluginul Burst Statistics în sine se află pe o versiune afectată.

Este acest mesaj legitim?

Da. Aceasta este o notificare de bună-credință, prin divulgare responsabilă, din partea unui cercetător independent în securitate. Nu vă cer bani, parole sau acces la site-ul dumneavoastră și nu am încercat să pătrund în el, să încarc ceva sau să exploatez ceva.

Tot ce am făcut a fost să mă uit la fișiere vizibile public pe care site-ul dumneavoastră le servește fiecărui vizitator (la fel cum pagina dumneavoastră de start este publică) și să notez numărul versiunii pe care pluginul Burst Statistics îl publică în fișierul său public readme.txt. În mod special, nu am atins funcția vulnerabilă, iar nimic din această verificare nu atinge datele dumneavoastră, zona de administrare sau vreo parte privată a site-ului.

Dacă doriți să verificați cine sunt, consultați datele de contact din partea de jos a acestei pagini și pagina Despre.

De ce contează

Burst Statistics este un plugin de analiză foarte răspândit, respectuos cu confidențialitatea (aproximativ 200.000 de instalări active). În versiunea 3.4.0 a adăugat o integrare cu panoul de gestionare la distanță MainWP, iar codul care autentifică acele cereri conține o greșeală: verifică incorect rezultatul parolei de aplicație (application password) al unei cereri primite, astfel încât o cerere care nu poartă nicio parolă validă poate fi totuși acceptată.

Efectul practic este că un atacator la distanță care pur și simplu cunoaște numele de utilizator al oricărui administrator de pe site-ul dumneavoastră poate trimite o singură cerere web obișnuită pe care pluginul o acceptă ca fiind a acelui administrator, fără parolă și fără autentificare. Aceasta oferă atacatorului întreaga putere a unui cont de administrator: poate crea utilizatori administratori noi, poate instala un plugin sau o temă (o modalitate frecventă de a planta un backdoor), poate modifica conținut sau poate citi date.

Vulnerabilitatea a primit scorul 9,8 din 10 (severitate critică). A fost descoperită de echipa de cercetare Wordfence, iar Wordfence raportează că este exploatată activ în mediul real pe scară largă, în ordinul a mii de tentative de atac pe zi, cu cod proof-of-concept disponibil public. Dacă e-mailul meu a citat această problemă, înseamnă că versiunea raportată de site-ul dumneavoastră se încadrează în intervalul afectat. Nu am testat dacă site-ul dumneavoastră anume este exploatabil sau deja compromis, ci doar că raportează o versiune afectată.

Vestea bună: actualizarea la versiunea remediată închide breșa, iar actualizarea este simplă.

Cum să vă verificați versiunea

Nu trebuie să mă credeți pe cuvânt cu privire la versiunea pe care o rulați.

Din manifestul public (nu este nevoie de autentificare): deschideți yourdomain.com/wp-content/plugins/burst-statistics/readme.txt într-un browser. Linia Stable tag: din partea de sus este versiunea pe care o raportează instalarea dumneavoastră de Burst Statistics, iar acesta este același fișier public pe care l-am citit eu.

Din zona de administrare WordPress (dacă aveți acces):

  1. Autentificați-vă în panoul WordPress (de obicei la yourdomain.com/wp-admin).
  2. Accesați Plugins apoi Installed Plugins.
  3. Căutați Burst Statistics și notați versiunea afișată sub numele său.

Dacă versiunea este 3.4.0, 3.4.1 sau 3.4.1.1, folosiți o versiune afectată și ar trebui să actualizați. 3.4.2 și versiunile ulterioare sunt remediate, iar versiunile anterioare 3.4.0 nu au fost niciodată afectate.

Cum să actualizați

Cea mai sigură cale este să actualizați prin WordPress însuși și să faceți mai întâi o copie de rezervă:

  1. Faceți o copie de rezervă a site-ului (fișiere și baza de date) înainte de a face modificări. Majoritatea furnizorilor de găzduire oferă copii de rezervă cu un singur clic sau folosiți un plugin de backup pentru WordPress.
  2. În administrarea WordPress, accesați Dashboard apoi Updates, sau Plugins apoi Installed Plugins. Dacă este listată o actualizare Burst Statistics, instalați-o de aici.
  3. Dacă nu apare nicio actualizare, puteți obține cea mai recentă versiune direct de pe pagina pluginului din directorul WordPress.org, Burst Statistics, și actualizați prin Plugins apoi Add New Plugin apoi Upload Plugin.
  4. După actualizare, confirmați noul număr al versiunii (3.4.2 sau o versiune ulterioară) folosind pașii de mai sus și verificați că site-ul se încarcă normal.

Cât timp sunteți acolo, merită să confirmați că nucleul WordPress și celelalte pluginuri ale dumneavoastră sunt actualizate, deoarece același principiu se aplică tuturor.

Dacă ați folosit o versiune afectată

Deoarece această vulnerabilitate este exploatată activ pentru a prelua controlul site-urilor, un site care a rulat o versiune afectată nu ar trebui să presupună că simpla actualizare este suficientă. Actualizarea elimină vulnerabilitatea, dar nu anulează vreun acces pe care un atacator l-ar fi putut obține deja. Dumneavoastră (sau webmasterul dumneavoastră) ar trebui să verificați acest lucru pe propriul dumneavoastră site:

  • Examinați conturile dumneavoastră de administrator. În Users apoi All Users, filtrați după Administrator și eliminați orice cont pe care nu îl recunoașteți. Atacatorii adaugă frecvent un utilizator administrator nou pentru a-și păstra accesul.
  • Examinați pluginurile și temele instalate sau modificate recent. Căutați orice nu ați instalat chiar dumneavoastră și pluginuri cu nume generice sau nefamiliare: un plugin sau o temă răuvoitoare este o modalitate frecventă de a planta un backdoor.
  • Examinați parolele de aplicație. Pentru fiecare utilizator (Users apoi Profile-ul utilizatorului), verificați secțiunea Application Passwords și revocați orice intrare pe care nu ați creat-o.
  • Fiți atent la alte semne. Conținut sau pagini noi neașteptate, modificări ale e-mailului de administrator sau ale setărilor URL ale site-ului, ori sarcini programate nefamiliare merită investigate.

Dacă găsiți dovezi de acces neautorizat, tratați site-ul ca fiind compromis: eliminați orice utilizatori, pluginuri sau teme răuvoitoare, schimbați toate credențialele (administrarea WordPress, baza de date și panoul de găzduire) și luați în considerare restaurarea dintr-o copie de rezervă cunoscută ca fiind curată, făcută înainte de intruziune. Dacă organizația dumneavoastră are o echipă de securitate IT, implicați-i.

Vreau să fiu clar: nu am verificat site-ul dumneavoastră pentru niciunul dintre acești indicatori și nu știu dacă site-ul dumneavoastră a fost afectat. Această listă este aici ca să puteți verifica dumneavoastră.

Nu am un webmaster / m-am blocat

Dacă nu sunteți persoana care întreține site-ul, vă rog să transmiteți această pagină celui care o face (dezvoltatorul dumneavoastră web, agenția sau furnizorul de găzduire). Vor recunoaște rapid pașii de mai sus.

Dacă întrețineți site-ul dumneavoastră și v-ați blocat, vă ajut cu plăcere să vă orientați în direcția corectă, fără niciun cost. Contactați-mă folosind datele de contact de mai jos.

Contact

Evan Harris, cercetător în securitate

Iau legătura în privința unor probleme ca aceasta pur și simplu pentru a ajuta operatorii să-și securizeze site-urile. Dacă preferați să nu mai fiți contactat, doar spuneți-mi și voi respecta acest lucru.

Referințe

Buletine oficiale și urmărire

Producător / plugin