1. Home
  2. Tecnologia
  3. Vulnerabilidade crítica expõe 200 mil sites WordPress ao risco de invasão

Vulnerabilidade crítica expõe 200 mil sites WordPress ao risco de invasão

Posted by alertaroraima on maio 16, 2026.
Vulnerabilidade crítica expõe 200 mil sites WordPress ao risco de invasão

Uma falha crítica no plugin Burst Statistics permite que invasores criem contas de administrador em sites WordPress sem usar senha. A vulnerabilidade, identificada como CVE-2026-8181, foi detectada em 8 de maio de 2026 pela plataforma PRISM, da Wordfence. Cerca de 200 mil instalações ativas do plugin são afetadas.

A brecha possibilita que atacantes não autenticados se façam passar por administradores conhecidos em requisições à API REST do WordPress. Na prática, basta ao invasor conhecer o nome de usuário de um admin para obter controle total do site, inclusive criando novas contas de administrador do zero.

smart_display

Vídeos em destaque

Como o ataque funciona

A exploração é relativamente simples: o atacante só precisa do nome de usuário de um administrador. Esse dado pode ser encontrado em posts, comentários ou em respostas públicas da API, e pode também ser descoberto por força bruta.

A falha no Burst Statistics permite que invasores criem contas de administrador no WordPress sem uma senha válida — basta conhecer o nome de usuário de um admin.

Com o nome de usuário, o invasor envia uma chamada à REST API, por exemplo para /wp-json/wp/v2/users, incluindo um cabeçalho de autenticação básica com o nome do admin e qualquer senha falsa. O plugin interpreta essa tentativa de forma errada e acaba liberando acesso administrativo.

No pior caso, o atacante consegue criar uma conta de administrador totalmente nova sem qualquer autenticação, ganhando controle completo sobre o site WordPress afetado.

Causa técnica da vulnerabilidade

O problema reside na integração do Burst Statistics com a plataforma MainWP. O plugin implementou um esquema de autenticação HTTP personalizado para validar senhas de aplicativo do WordPress. A função is_mainwp_authenticated() invoca a função nativa wp_authenticate_application_password() para checar as credenciais.

ilustracao-mostrando-digitacao-de-login-e-senha-em-notebook
A CVE-2026-8181 contorna a autenticação do WordPress — atacantes podem se passar por administradores usando qualquer senha inventada em requisições à API REST.

O erro ocorre na interpretação do retorno dessa verificação. O código considera qualquer valor que não seja WP_Error como sinal de autenticação bem-sucedida. Porém, o WordPress pode retornar null em certas situações, e o plugin interpreta esse null como se a autenticação tivesse sido válida.

Assim, o código chama wp_set_current_user() com o nome de usuário fornecido pelo atacante. Essa função define globalmente o usuário autenticado para a requisição, fazendo com que todas as verificações de capacidade do WordPress reconheçam um administrador autenticado.

Ataques já começaram

A Wordfence havia alertado sobre expectativa de ataques direcionados e a previsão se confirmou rapidamente: a plataforma bloqueou mais de 7.400 tentativas de exploração da CVE-2026-8181 nas últimas 24 horas.

antivirus-surfshark-confira-a-promocao-para-aproveitar-na-black-friday-thumb.png
A Wordfence bloqueou mais de 7.400 tentativas de exploração nas últimas 24 horas — ataques contra sites vulneráveis já estão ocorrendo.

A atividade maliciosa já é expressiva. Atacantes buscam ativamente sites vulneráveis para comprometer: o acesso de administrador permite roubar bancos de dados, instalar backdoors, redirecionar visitantes para sites maliciosos e distribuir malware.

Linha do tempo: descoberta ao patch

O PRISM detectou a falha automaticamente em 8 de maio de 2026. A plataforma usa inteligência artificial autônoma para vasculhar plugins WordPress. A brecha havia sido introduzida no código apenas 15 dias antes, em 23 de abril.

A Wordfence iniciou a divulgação responsável em 8 de maio, enviando os detalhes completos à equipe do Burst Statistics em 11 de maio. O desenvolvedor confirmou o recebimento e liberou a correção no dia seguinte.

alerta-de-email-suspeito-com-icone-de-aviso-vermelho-ciberseguranca-ataque-digital-e-ameaca-virtual-phishing
O plugin Burst Statistics introduziu a brecha em 23 de abril de 2026; a PRISM a descobriu apenas 15 dias depois.

A versão 3.4.2 do plugin foi lançada em 12 de maio de 2026. O patch corrige o problema exigindo que a verificação retorne explicitamente um objeto WP_User antes de conceder acesso.

Situação atual e recomendações

As estatísticas do WordPress.org indicam 85 mil downloads desde o lançamento da versão corrigida. Se todos esses downloads corresponderem à 3.4.2, ainda restariam cerca de 115 mil sites expostos a ataques de sequestro administrativo.

Usuários do Wordfence Premium, Care e Response receberam proteção de firewall desde 8 de maio; a proteção para usuários da versão gratuita será ativada em 7 de junho de 2026. Atualizar para a versão mais recente do plugin é crítico e deve ser feito imediatamente.

como-colocar-senha-no-excel-e-deixar-seu-trabalho-seguro-thumb.png
Cerca de 115 mil sites WordPress ainda podem estar expostos à falha crítica. A atualização para o Burst Statistics 3.4.2 é urgente.

Sites que não conseguirem atualizar rapidamente devem considerar desativar temporariamente o Burst Statistics. A vulnerabilidade ser não autenticada e o alto nível de acesso que ela concede a tornam uma ameaça de prioridade alta.

Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e no canal do YouTube.

Post Views: 2

Posts relacionados

Plugin WordPress Cookie by Real Cookie Banner
scroll to top