Burst Statistics: Angriffe auf kritische Lücke im populären WordPress-Plugin

Eine Sicherheitslücke im WordPress-Plugin Burst Statistics ermöglicht Angreifern, sich als Admin auszugeben. Das ermöglicht die komplette Übernahme einer Site. Ein aktualisiertes Plugin steht bereits seit Mitte Mai bereit. Admins sollten prüfen, ob sie das Plugin nutzen und das System nach Aktualisierung auf Einbruchsspuren untersuchen.

In einem Blog-Beitrag schreiben die IT-Forscher von Wordfence, dass sie bereits seit dem 13. Mai 2026 Angriffe auf die Sicherheitslücke beobachtet haben. Burst Statistics soll „datenschutzfreundliche WordPress-Analysen“ liefern und sieht sich selbst als Alternative zu Google Analytics. Es kommt laut Plugin-Seite auf mehr als 200.000 aktive Installationen.

Burst Statistics: Gestopftes Sicherheitsleck

Die IT-Forscher erörtern, dass die Sicherheitslücke nicht authentifizierten Angreifern aus dem Netz ermöglicht, einen ihnen bekannten Nutzernamen (etwa „Administrator“) zu imitieren und die Site komplett zu übernehmen. Ursache ist die inkorrekte Verarbeitung eines Rückgabewerts in der Funktion is_mainwp_authenticated(). Durch die Angabe eines beliebigen Werts für das Basic-Authentication-Passworts konnten nicht angemeldete Nutzer so ihre Rechte ausweiten und unbefugt zugreifen (CVE-2026-8181, CVSS 9.8, Risiko „kritisch“).