Μια σοβαρή ευπάθεια εντοπίστηκε στην προσθήκη Burst Statistics του WordPress, επιτρέποντας στους χάκερ να αποκτούν πρόσβαση σε επίπεδο διαχειριστή σε ιστότοπους που την χρησιμοποιούν. Αυτό συνιστά έναν άμεσο κίνδυνο για εκατοντάδες χιλιάδες χρήστες και η ανάγκη για γρήγορες διορθώσεις είναι επιτακτική.
Η προσθήκη Burst Statistics, που εστιάζει στην ανάλυση δεδομένων με σεβασμό στην ιδιωτικότητα, χρησιμοποιείται σε περίπου 200.000 ιστότοπους. Ενσωματώνει χαρακτηριστικά που τη διαφοροποιούν ως ελαφριά εναλλακτική στο Google Analytics, αλλά δυστυχώς, το νέο ελάττωμα — καταχωρημένο ως CVE-2026-8181 — επηρεάζει την ασφάλειά της.
Η ευπάθεια ανακαλύφθηκε στις 23 Απριλίου και αφορά δύο εκδόσεις της επαναλαμβανόμενης κωδικοποίησης, 3.4.0 και 3.4.1. Σύμφωνα με τους ειδικούς της ασφάλειας, ειδικότερα την εταιρεία Wordfence, αυτή η αδυναμία μπορεί να επιτρέψει σε επιτήδειους να πλαστογραφούν λογαριασμούς διαχειριστών.
Η αδυναμία επιτρέπει σε μη επιβεβαιωμένους χρήστες να μιμούνται διαχειριστές κατά τη διάρκεια αιτημάτων προς το REST API, κάτι που αναδεικνύει την κρίσιμη φύση αυτού του στόχου. “Αυτή η ευπάθεια παρέχει στους εισβολείς τη δυνατότητα να δημιουργούν απατεώνες λογαριασμούς διαχειριστή χωρίς έλεγχο ταυτότητας,” αναφέρουν οι ειδικοί.
Ουσιαστικά, η ρίζα του προβλήματος έγκειται σε μια εσφαλμένη ερμηνεία της συνάρτησης ‘wp_authenticate_application_password()’, η οποία μπορεί να οδηγήσει σε πλαστογραφία ταυτότητας, αφού σε μερικές περιπτώσεις επιστρέφεται ‘null’, το οποίο αναγνωρίζεται λανθασμένα ως επιτυχία ταυτοποίησης.
Η επιτυχία των επιθέσεων εξαρτάται από την πρόσβαση σε ονόματα χρήστη διαχειριστών, τα οποία μπορεί να βρίσκονται δημόσια διαθέσιμα, αυξάνοντας τις πιθανότητες επιτυχίας μέσω τεχνικών ωμής βίας.
Αυτό έχει σοβαρές επιπτώσεις, αφού η πρόσβαση σε επίπεδο διαχειριστή επιτρέπει στους εισβολείς να αποκτούν πρόσβαση σε ευαίσθητές βάσεις δεδομένων, να εγκαθιστούν κακόβουλο λογισμικό και να ανακατευθύνουν επισκέπτες σε επικίνδυνες τοποθεσίες.
Σύμφωνα με την ανάλυση του Wordfence, οι επιθέσεις ήδη έχουν ξεκινήσει. Μόνο τις τελευταίες 24 ώρες, έχουν μπλοκαριστεί πάνω από 7.400 επιθέσεις που στοχεύουν το συγκεκριμένο CVE, καθιστώντας την αναβάθμιση στον τελευταίο διαθέσιμο κώδικα — 3.4.2 που κυκλοφόρησε στις 12 Μαΐου — επιτακτική.
Ωστόσο, καθώς οι στατιστικές του WordPress.org δείχνουν ότι η προηγούμενη έκδοση είχε περισσότερες από 85.000 λήψεις, υπάρχει κίνδυνος ότι περίπου 115.000 ιστότοποι παραμένουν εκτεθειμένοι.
Η ασφάλεια των διαδικτυακών ιστότοπων γίνεται ολοένα και πιο κρίσιμη, και η σωστή διαχείριση των ελέγχων πρόσβασης είναι εξαιρετικά επιτακτική. Αυτός ο οδηγός εξετάζει αναλυτικά τις 6 επιφάνειες που πρέπει να επιβεβαιώνετε διαρκώς για να διασφαλίσετε την ασφάλεια του ιστότοπού σας.
## Η άποψη του TechNoid.gr
Η ανακάλυψη αυτής της ευπάθειας στο Burst Statistics πρέπει να δράσει ως καμπανάκι κινδύνου για κάθε διαχειριστή ιστότοπου WordPress. Η ανάγκη για τακτικές αναβαθμίσεις και η ενίσχυση των ελέγχων ασφαλείας είναι πλέον επιτακτική. Η πρόβλεψή μας είναι ότι, αν δεν ληφθούν άμεσες ενέργειες, οι επιθέσεις θα γίνουν πιο συχνές, θέτοντας σε σοβαρό κίνδυνο την ασφάλεια των δεδομένων και των πελατών. Είναι καθήκον κάθε χρήστη να παραμείνει ενημερωμένος και προετοιμασμένος για τέτοιες απειλές.
