Burst Statistics 安全通知
如果您收到我发来的邮件,指引您访问本页面,那是因为您的网站似乎正在运行存在漏洞版本的
Burst Statistics(WordPress 插件 burst-statistics,一款注重隐私的分析插件)。
本页面将说明这为何重要以及如何修复。
本通知涉及 CVE-2026-8181,这是一个严重、正被积极利用的缺陷(CVSS 9.8), 它允许攻击者 无需登录即可以管理员身份接管您的站点。它影响的发行版范围很窄, 仅 3.4.0、3.4.1 和 3.4.1.1 版本,并已在 3.4.2 中修复。3.4.0 之前的版本从未受影响。 如果您正在运行受影响的版本,请尽快 将 Burst Statistics 升级到 3.4.2 或更高版本。 由于这个缺陷会把站点的完全控制权交给攻击者,并且正被大规模利用,您还应当 排查是否有未经授权访问的迹象(见下方如果您曾使用受影响的版本)。
这是一个 插件 缺陷,而不是 WordPress 核心的缺陷。如果 Burst Statistics 插件本身处于 受影响的版本,那么即便是完全最新的 WordPress 也 无法 保护您。
这条消息是否可信?
是的。这是一份来自独立安全研究人员的善意、负责任披露通知。我 不会 向您索要金钱、 密码或对您站点的访问权限,也 没有 试图入侵它、上传任何东西或利用任何漏洞。
我所做的一切,只是查看您的网站向每一位访问者提供的公开可见文件(就像您的主页是公开的一样),
并记录 Burst Statistics 插件在其公开的 readme.txt 文件中公布的版本号。我特意 没有 触碰
那个存在漏洞的功能,而且这项检查完全不涉及您的数据、您的后台管理区域,或您站点的任何私密部分。
如果您想核实我的身份,请查看本页底部的联系方式以及关于页面。
为什么这很重要
Burst Statistics 是一款使用广泛、注重隐私的分析插件(约有 200,000 个活跃安装)。在 3.4.0 版本中, 它加入了与 MainWP 远程管理面板的集成,而用于验证这些请求身份的代码存在一处错误: 它对进入的请求的 应用程序密码(application password) 校验结果判断有误, 以致一个 不携带任何有效密码 的请求仍然可能被接受。
实际的后果是,只要远程攻击者 知道您站点上任意一个管理员的用户名,就能发送 一个普通的 网页请求,而插件会把它当作那位管理员来接受,既不需要密码,也无需登录。这就把管理员账户的 全部权限交给了攻击者:他们可以创建新的管理员用户、安装插件或主题(一种常见的植入后门的方式)、 更改内容,或读取数据。
该缺陷被评为 满分 10 中的 9.8(严重级别)。它由 Wordfence 研究团队发现, Wordfence 报告称该缺陷正 在真实环境中被大规模积极利用,攻击尝试量级达到 每天数千次,且公开的概念验证(proof-of-concept)代码已经可获取。如果我的邮件引用了这个问题, 那意味着您站点报告的版本落在受影响的范围之内。我并没有测试您的具体站点是否可被利用或是否已被入侵, 只是确认它报告了一个受影响的版本。
好消息:更新到已修复的版本可以堵上这个漏洞,而且更新过程很简单。
如何检查您的版本
您不必仅凭我的说法来判断自己运行的是哪个版本。
从公开清单查看(无需登录): 在浏览器中打开
yourdomain.com/wp-content/plugins/burst-statistics/readme.txt。顶部附近的
Stable tag: 这一行是您的 Burst Statistics 安装所报告的版本,而这正是我读取的那个公开文件。
从 WordPress 后台管理区域查看(如果您有访问权限):
- 登录您的 WordPress 仪表盘(通常位于
yourdomain.com/wp-admin)。 - 前往 Plugins 然后 Installed Plugins。
- 找到 Burst Statistics 并记下其名称下方显示的版本。
如果版本是 3.4.0、3.4.1 或 3.4.1.1,说明您使用的是受影响的版本,应当更新。 3.4.2 及更高版本 已修复,而 3.4.0 之前 的版本从未受影响。
如何升级
最安全的做法是通过 WordPress 自身进行更新,并事先做好备份:
- 在做出更改之前 备份您的站点(文件和数据库)。大多数主机服务商都提供一键备份, 或者使用 WordPress 备份插件。
- 在 WordPress 后台,前往 Dashboard 然后 Updates,或 Plugins 然后 Installed Plugins。如果列出了 Burst Statistics 更新,就从这里安装它。
- 如果没有出现更新,您可以直接从该插件在 WordPress.org 目录上的页面获取最新版本, Burst Statistics, 并通过 Plugins 然后 Add New Plugin 然后 Upload Plugin 进行更新。
- 更新后,按照上述步骤确认新的版本号(3.4.2 或更高),并检查您的站点是否能正常加载。
既然您已经在处理这些,不妨顺便确认 WordPress 核心 以及您的其他插件是否都是最新的, 因为同样的原则适用于所有这些组件。
如果您曾使用受影响的版本
由于这个缺陷正被积极利用来接管站点,曾运行受影响版本的站点不应认为仅仅更新就足够了。 更新会移除该漏洞,但它 不会 撤销攻击者可能已经获得的任何访问权限。您(或您的网站管理员) 应当在 您自己的 站点上检查这一点:
- 检查您的管理员账户。 在 Users 然后 All Users 中,按 Administrator 筛选, 并移除任何您不认识的账户。攻击者常常新增一个管理员用户以保持访问权限。
- 检查最近安装或修改过的插件和主题。 留意任何并非您自己安装的内容,以及名称通用或陌生的插件, 流氓插件或主题是一种常见的植入后门的方式。
- 检查应用程序密码。 对每一位用户(Users 然后该用户的 Profile),查看 Application Passwords 部分,并撤销任何并非您创建的条目。
- 留意其他迹象。 意料之外的新内容或新页面、管理员邮箱或站点 URL 设置的改动, 或陌生的计划任务,都值得进一步调查。
如果您发现了未经授权访问的证据,请将站点视为已被入侵:移除任何流氓用户、插件或主题, 更换您的凭据(WordPress 后台、数据库和主机面板),并考虑从入侵之前所做的、已知良好的 备份中恢复。如果您的组织有 IT 安全团队,请让他们参与进来。
我想说明清楚:我 没有 就上述任何指标检查过您的站点,也不知道您的站点是否受到影响。 此列表列在此处,是为了让您可以自行检查。
我没有网站管理员 / 我遇到了困难
如果您不是维护站点的人,请将本页面转发给负责维护的人(您的网页开发者、代理机构或主机服务商)。 他们会很快认出上述步骤。
如果您自己维护站点却遇到了困难,我很乐意免费帮您指明正确的方向。请使用下方的联系方式与我联系。
联系方式
Evan Harris,安全研究员
- 电子邮件:security@mail.mcpsec.dev
- X:@Evan__Harris
- GitHub:eharris128
- LinkedIn:Evan Harris
我就此类问题主动联系,纯粹是为了帮助运营者保护他们的站点。如果您希望不再被联系, 只需告诉我,我会予以尊重。
参考资料
官方通告与追踪
厂商 / 插件