如果您收到我发来的邮件,指引您访问本页面,那是因为您的网站似乎正在运行存在漏洞版本的 Burst Statistics(WordPress 插件 burst-statistics,一款注重隐私的分析插件)。 本页面将说明这为何重要以及如何修复。

本通知涉及 CVE-2026-8181,这是一个严重、正被积极利用的缺陷(CVSS 9.8), 它允许攻击者 无需登录即可以管理员身份接管您的站点。它影响的发行版范围很窄, 仅 3.4.0、3.4.1 和 3.4.1.1 版本,并已在 3.4.2 中修复。3.4.0 之前的版本从未受影响。 如果您正在运行受影响的版本,请尽快 将 Burst Statistics 升级到 3.4.2 或更高版本。 由于这个缺陷会把站点的完全控制权交给攻击者,并且正被大规模利用,您还应当 排查是否有未经授权访问的迹象(见下方如果您曾使用受影响的版本)。

这是一个 插件 缺陷,而不是 WordPress 核心的缺陷。如果 Burst Statistics 插件本身处于 受影响的版本,那么即便是完全最新的 WordPress 也 无法 保护您。

这条消息是否可信?

是的。这是一份来自独立安全研究人员的善意、负责任披露通知。我 不会 向您索要金钱、 密码或对您站点的访问权限,也 没有 试图入侵它、上传任何东西或利用任何漏洞。

我所做的一切,只是查看您的网站向每一位访问者提供的公开可见文件(就像您的主页是公开的一样), 并记录 Burst Statistics 插件在其公开的 readme.txt 文件中公布的版本号。我特意 没有 触碰 那个存在漏洞的功能,而且这项检查完全不涉及您的数据、您的后台管理区域,或您站点的任何私密部分。

如果您想核实我的身份,请查看本页底部的联系方式以及关于页面。

为什么这很重要

Burst Statistics 是一款使用广泛、注重隐私的分析插件(约有 200,000 个活跃安装)。在 3.4.0 版本中, 它加入了与 MainWP 远程管理面板的集成,而用于验证这些请求身份的代码存在一处错误: 它对进入的请求的 应用程序密码(application password) 校验结果判断有误, 以致一个 不携带任何有效密码 的请求仍然可能被接受。

实际的后果是,只要远程攻击者 知道您站点上任意一个管理员的用户名,就能发送 一个普通的 网页请求,而插件会把它当作那位管理员来接受,既不需要密码,也无需登录。这就把管理员账户的 全部权限交给了攻击者:他们可以创建新的管理员用户、安装插件或主题(一种常见的植入后门的方式)、 更改内容,或读取数据。

该缺陷被评为 满分 10 中的 9.8(严重级别)。它由 Wordfence 研究团队发现, Wordfence 报告称该缺陷正 在真实环境中被大规模积极利用,攻击尝试量级达到 每天数千次,且公开的概念验证(proof-of-concept)代码已经可获取。如果我的邮件引用了这个问题, 那意味着您站点报告的版本落在受影响的范围之内。我并没有测试您的具体站点是否可被利用或是否已被入侵, 只是确认它报告了一个受影响的版本。

好消息:更新到已修复的版本可以堵上这个漏洞,而且更新过程很简单。

如何检查您的版本

您不必仅凭我的说法来判断自己运行的是哪个版本。

从公开清单查看(无需登录): 在浏览器中打开 yourdomain.com/wp-content/plugins/burst-statistics/readme.txt。顶部附近的 Stable tag: 这一行是您的 Burst Statistics 安装所报告的版本,而这正是我读取的那个公开文件。

从 WordPress 后台管理区域查看(如果您有访问权限):

  1. 登录您的 WordPress 仪表盘(通常位于 yourdomain.com/wp-admin)。
  2. 前往 Plugins 然后 Installed Plugins
  3. 找到 Burst Statistics 并记下其名称下方显示的版本。

如果版本是 3.4.0、3.4.1 或 3.4.1.1,说明您使用的是受影响的版本,应当更新。 3.4.2 及更高版本 已修复,而 3.4.0 之前 的版本从未受影响。

如何升级

最安全的做法是通过 WordPress 自身进行更新,并事先做好备份:

  1. 在做出更改之前 备份您的站点(文件和数据库)。大多数主机服务商都提供一键备份, 或者使用 WordPress 备份插件。
  2. 在 WordPress 后台,前往 Dashboard 然后 Updates,或 Plugins 然后 Installed Plugins。如果列出了 Burst Statistics 更新,就从这里安装它。
  3. 如果没有出现更新,您可以直接从该插件在 WordPress.org 目录上的页面获取最新版本, Burst Statistics, 并通过 Plugins 然后 Add New Plugin 然后 Upload Plugin 进行更新。
  4. 更新后,按照上述步骤确认新的版本号(3.4.2 或更高),并检查您的站点是否能正常加载。

既然您已经在处理这些,不妨顺便确认 WordPress 核心 以及您的其他插件是否都是最新的, 因为同样的原则适用于所有这些组件。

如果您曾使用受影响的版本

由于这个缺陷正被积极利用来接管站点,曾运行受影响版本的站点不应认为仅仅更新就足够了。 更新会移除该漏洞,但它 不会 撤销攻击者可能已经获得的任何访问权限。您(或您的网站管理员) 应当在 您自己的 站点上检查这一点:

  • 检查您的管理员账户。Users 然后 All Users 中,按 Administrator 筛选, 并移除任何您不认识的账户。攻击者常常新增一个管理员用户以保持访问权限。
  • 检查最近安装或修改过的插件和主题。 留意任何并非您自己安装的内容,以及名称通用或陌生的插件, 流氓插件或主题是一种常见的植入后门的方式。
  • 检查应用程序密码。 对每一位用户(Users 然后该用户的 Profile),查看 Application Passwords 部分,并撤销任何并非您创建的条目。
  • 留意其他迹象。 意料之外的新内容或新页面、管理员邮箱或站点 URL 设置的改动, 或陌生的计划任务,都值得进一步调查。

如果您发现了未经授权访问的证据,请将站点视为已被入侵:移除任何流氓用户、插件或主题, 更换您的凭据(WordPress 后台、数据库和主机面板),并考虑从入侵之前所做的、已知良好的 备份中恢复。如果您的组织有 IT 安全团队,请让他们参与进来。

我想说明清楚:我 没有 就上述任何指标检查过您的站点,也不知道您的站点是否受到影响。 此列表列在此处,是为了让您可以自行检查。

我没有网站管理员 / 我遇到了困难

如果您不是维护站点的人,请将本页面转发给负责维护的人(您的网页开发者、代理机构或主机服务商)。 他们会很快认出上述步骤。

如果您自己维护站点却遇到了困难,我很乐意免费帮您指明正确的方向。请使用下方的联系方式与我联系。

联系方式

Evan Harris,安全研究员

我就此类问题主动联系,纯粹是为了帮助运营者保护他们的站点。如果您希望不再被联系, 只需告诉我,我会予以尊重。

参考资料

官方通告与追踪

厂商 / 插件