Уведомление о безопасности Burst Statistics
Если Вы получили от меня письмо со ссылкой на эту страницу, то потому, что Ваш сайт,
по всей видимости, использует уязвимую версию Burst Statistics (плагин WordPress
burst-statistics, плагин аналитики с заботой о конфиденциальности). На этой странице
объясняется, почему это важно и как это исправить.
Данное уведомление касается уязвимости CVE-2026-8181, критической, активно эксплуатируемой уязвимости (CVSS 9.8), которая позволяет злоумышленнику захватить Ваш сайт в качестве администратора без входа в систему. Она затрагивает узкий диапазон выпусков, версии 3.4.0, 3.4.1 и 3.4.1.1, и устранена в версии 3.4.2. Версии до 3.4.0 никогда не были затронуты. Если Вы используете затронутую версию, обновите Burst Statistics до 3.4.2 или новее как можно скорее. Поскольку эта уязвимость передаёт злоумышленнику полный контроль над сайтом и эксплуатируется в массовом масштабе, Вам также следует проверить сайт на признаки несанкционированного доступа (см. Если Вы использовали затронутую версию ниже).
Это уязвимость плагина, а не ядра WordPress. Полностью актуальный WordPress не защищает Вас, если сам плагин Burst Statistics находится на затронутой версии.
Является ли это сообщение подлинным?
Да. Это добросовестное уведомление в рамках ответственного раскрытия информации от независимого исследователя безопасности. Я не прошу у Вас денег, паролей или доступа к Вашему сайту и не пытался проникнуть в него, что-либо загрузить или что-либо эксплуатировать.
Всё, что я сделал, это просмотрел публично доступные файлы, которые Ваш сайт предоставляет
каждому посетителю (точно так же, как публична Ваша главная страница), и отметил номер
версии, который плагин Burst Statistics публикует в своём публичном файле readme.txt.
Уязвимой функции я специально не касался, и ничто в этой проверке не затрагивает Ваши
данные, Вашу административную панель или какую-либо частную часть Вашего сайта.
Если Вы хотите убедиться в том, кто я, ознакомьтесь с контактными данными внизу этой страницы и на странице Обо мне.
Почему это важно
Burst Statistics представляет собой широко используемый плагин аналитики с заботой о конфиденциальности (около 200 000 активных установок). В версии 3.4.0 он добавил интеграцию с панелью удалённого управления MainWP, и код, который аутентифицирует эти запросы, содержит ошибку: он неправильно проверяет результат пароля приложения входящего запроса, так что запрос, который не несёт действительного пароля, всё равно может быть принят.
Практический эффект в том, что удалённый злоумышленник, который просто знает имя пользователя любого администратора на Вашем сайте, может отправить один обычный веб-запрос, который плагин принимает как исходящий от этого администратора, без пароля и без входа в систему. Это даёт злоумышленнику всю полноту власти учётной записи администратора: он может создавать новых пользователей-администраторов, устанавливать плагин или тему (распространённый способ установить бэкдор), изменять контент или читать данные.
Уязвимость получила оценку 9,8 из 10 (критическая степень серьёзности). Она была обнаружена исследовательской командой Wordfence, и Wordfence сообщает, что она активно эксплуатируется в реальных условиях в массовом масштабе, порядка тысяч попыток атак в день, с публично доступным кодом proof-of-concept. Если в моём письме упоминалась эта проблема, это означает, что версия, о которой сообщает Ваш сайт, попадает в затронутый диапазон. Я не проверял, уязвим ли Ваш конкретный сайт или уже скомпрометирован, лишь то, что он сообщает о затронутой версии.
Хорошая новость: обновление до исправленной версии закрывает брешь, а само обновление несложное.
Как проверить свою версию
Вам не обязательно верить мне на слово относительно того, какую версию Вы используете.
Из публичного манифеста (вход в систему не требуется): откройте в браузере
yourdomain.com/wp-content/plugins/burst-statistics/readme.txt. Строка Stable tag:
вверху содержит версию, о которой сообщает Ваша установка Burst Statistics, и это тот же
публичный файл, который прочитал я.
Из административной панели WordPress (если у Вас есть доступ):
- Войдите в панель управления WordPress (обычно по адресу
yourdomain.com/wp-admin). - Перейдите в Plugins затем Installed Plugins.
- Найдите Burst Statistics и запишите версию, указанную под его названием.
Если версия 3.4.0, 3.4.1 или 3.4.1.1, Вы используете затронутую версию и Вам следует обновиться. Версии 3.4.2 и новее исправлены, а версии до 3.4.0 никогда не были затронуты.
Как обновиться
Самый безопасный путь: обновление через сам WordPress, предварительно создав резервную копию:
- Создайте резервную копию Вашего сайта (файлы и база данных) перед внесением изменений. Большинство хостинг-провайдеров предлагают резервное копирование в один клик, или используйте плагин резервного копирования WordPress.
- В административной панели WordPress перейдите в Dashboard затем Updates, или Plugins затем Installed Plugins. Если обновление Burst Statistics указано в списке, установите его отсюда.
- Если обновление не появляется, Вы можете получить последний выпуск напрямую со страницы плагина в каталоге WordPress.org, Burst Statistics, и обновить его через Plugins затем Add New Plugin затем Upload Plugin.
- После обновления подтвердите новый номер версии (3.4.2 или новее), следуя приведённым выше шагам, и проверьте, что Ваш сайт загружается нормально.
Раз уж Вы этим занялись, стоит убедиться, что ядро WordPress и Ваши прочие плагины актуальны, поскольку тот же принцип применим ко всем из них.
Если Вы использовали затронутую версию
Поскольку эта уязвимость активно эксплуатируется для захвата сайтов, сайт, на котором работала затронутая версия, не должен полагать, что простого обновления достаточно. Обновление устраняет уязвимость, но оно не отменяет какой-либо доступ, который злоумышленник мог уже получить. Вам (или Вашему веб-мастеру) следует проверить это на своём собственном сайте:
- Проверьте свои учётные записи администраторов. В Users затем All Users отфильтруйте по Administrator и удалите любую учётную запись, которую Вы не узнаёте. Злоумышленники часто добавляют нового пользователя-администратора, чтобы сохранить доступ.
- Проверьте недавно установленные или изменённые плагины и темы. Ищите всё, что Вы не устанавливали сами, а также плагины с общими или незнакомыми названиями: вредоносный плагин или тема являются распространённым способом установить бэкдор.
- Проверьте пароли приложений. Для каждого пользователя (Users затем Profile пользователя) проверьте раздел Application Passwords и отзовите любую запись, которую Вы не создавали.
- Следите за другими признаками. Неожиданный новый контент или страницы, изменения в настройках электронной почты администратора или URL сайта, а также незнакомые запланированные задачи стоит расследовать.
Если Вы обнаружите свидетельства несанкционированного доступа, считайте сайт скомпрометированным: удалите любых вредоносных пользователей, плагины или темы, смените свои учётные данные (администрирование WordPress, база данных и панель хостинга) и рассмотрите восстановление из заведомо чистой резервной копии, сделанной до вторжения. Если у Вашей организации есть команда по IT-безопасности, привлеките их.
Хочу прояснить: я не проверял Ваш сайт ни на один из этих индикаторов, и я не знаю, был ли Ваш сайт затронут. Этот список приведён здесь, чтобы Вы могли проверить сами.
У меня нет веб-мастера / я застрял
Если Вы не тот человек, который обслуживает сайт, пожалуйста, перешлите эту страницу тому, кто это делает (Вашему веб-разработчику, агентству или хостинг-провайдеру). Они быстро узнают приведённые выше шаги.
Если Вы обслуживаете сайт самостоятельно и застряли, я с радостью бесплатно помогу Вам найти верное направление. Свяжитесь со мной, используя контактные данные ниже.
Контакты
Evan Harris, исследователь безопасности
- Электронная почта: security@mail.mcpsec.dev
- X: @Evan__Harris
- GitHub: eharris128
- LinkedIn: Evan Harris
Я обращаюсь по подобным вопросам исключительно для того, чтобы помочь операторам защитить их сайты. Если Вы предпочитаете, чтобы с Вами больше не связывались, просто сообщите мне об этом, и я это уважу.
Источники
Официальные уведомления и отслеживание
Производитель / плагин