Burst Statistics: Angriffe auf kritische Lücke im populären WordPress-Plugin

Eine Sicherheitslücke im WordPress-Plugin Burst Statistics ermöglicht Angreifern, sich als Admin auszugeben. Das ermöglicht die komplette Übernahme einer Site. Ein aktualisiertes Plugin steht bereits seit Mitte Mai bereit. Admins sollten prüfen, ob sie das Plugin nutzen und das System nach Aktualisierung auf Einbruchsspuren untersuchen.

In einem Blog-Beitrag schreiben die IT-Forscher von Wordfence, dass sie bereits seit dem 13. Mai 2026 Angriffe auf die Sicherheitslücke beobachtet haben. Burst Statistics soll „datenschutzfreundliche WordPress-Analysen“ liefern und sieht sich selbst als Alternative zu Google Analytics. Es kommt laut Plugin-Seite auf mehr als 200.000 aktive Installationen.

Burst Statistics: Gestopftes Sicherheitsleck

Die IT-Forscher erörtern, dass die Sicherheitslücke nicht authentifizierten Angreifern aus dem Netz ermöglicht, einen ihnen bekannten Nutzernamen (etwa „Administrator“) zu imitieren und die Site komplett zu übernehmen. Ursache ist die inkorrekte Verarbeitung eines Rückgabewerts in der Funktion is_mainwp_authenticated(). Durch die Angabe eines beliebigen Werts für das Basic-Authentication-Passworts konnten nicht angemeldete Nutzer so ihre Rechte ausweiten und unbefugt zugreifen (CVE-2026-8181, CVSS 9.8, Risiko „kritisch“).

Betroffen sind die Versionen 3.4.0 bis 3.4.1.1 des Plugins, Burst Statistics 3.4.2 oder neuer (zum Meldungszeitpunkt ist Stand 3.4.3 aktuell) schließt die Sicherheitslücke. IT-Verantwortliche sollten zügig auf diesen Stand aktualisieren, wenn das noch nicht geschehen ist.

Bereits seit dem 13. Mai haben die Wordfence-Analysten Angriffe auf die Sicherheitslücke beobachtet. Die erreichten am 17. Mai mit 20.000 beobachteten Angriffsversuchen auf mit Wordfence-Web-Application-Firewall geschützten WordPress-Instanzen ihren Höhepunkt und fielen bis zum Monatswechsel dann deutlich auf wenige Hundert am Tag ab.

Der verlinkte Wordfence-Blogbeitrag listet einige Anzeichen für erfolgreiche Angriffe (Indicators of Compromise, IOC) auf. IT-Verantwortliche, die – wenn auch nur kurzzeitig – eine verwundbare Fassung von Burst Statistics im Zeitraum ab dem 13. Mai im Einsatz hatten, sollten die Systeme auf eventuelle Einbruchsspuren untersuchen.

Angriffe auf Lücken in WordPress-Plugins sind häufig zu beobachten. Zuletzt haben bösartige Akteure es etwa Anfang Mai auf eine Schwachstelle im Breeze-Cache-Plugin abgesehen. Nach erfolgreichem Angriff platzierten sie Hintertüren auf den Systemen.

(dmk)