Lỗ hổng Burst Statistics khiến hơn 100.000 website WordPress gặp nguy hiểm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
140
1.893 bài viết
Lỗ hổng Burst Statistics khiến hơn 100.000 website WordPress gặp nguy hiểm
WhiteHat Team
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên plugin phân tích truy cập Burst Statistics dành cho WordPress đang bị tin tặc khai thác tích cực để chiếm quyền quản trị website từ xa. Sự cố đặc biệt đáng lo ngại khi plugin này hiện đang được cài đặt trên khoảng 200.000 website WordPress trên toàn cầu.
Burst Statistics.png

Lỗ hổng được định danh là CVE-2026-8181, ảnh hưởng tới các phiên bản 3.4.0 và 3.4.1 của Burst Statistics - một plugin phân tích lưu lượng truy cập theo hướng bảo vệ quyền riêng tư, thường được sử dụng như giải pháp thay thế nhẹ hơn cho Google Analytics.

Theo hãng bảo mật Wordfence, đơn vị phát hiện lỗ hổng hôm 8/5, vấn đề xuất phát từ lỗi xử lý xác thực trong hàm wp_authenticate_application_password(). Trong một số trường hợp, plugin đã diễn giải sai kết quả trả về của WordPress, coi trạng thái lỗi WP_Error hoặc giá trị null như một phiên xác thực hợp lệ. Khai thác điểm yếu này, kẻ tấn công không cần đăng nhập vẫn có thể giả mạo tài khoản quản trị viên nếu biết username hợp lệ của admin. Chỉ bằng cách gửi một yêu cầu REST API kèm thông tin Basic Authentication giả mạo, hacker có thể chiếm quyền phiên làm việc của quản trị viên trong suốt quá trình xử lý request.

Đáng chú ý, việc thu thập username quản trị WordPress không quá khó khăn. Nhiều website vô tình để lộ tên tài khoản quản trị thông qua bài viết, bình luận, author archive hoặc các API công khai. Tin tặc cũng có thể sử dụng kỹ thuật brute-force để dò đoán username.

Trong trường hợp xấu nhất, CVE-2026-8181 cho phép tạo mới tài khoản quản trị cấp cao mà không cần bất kỳ hình thức xác thực nào. Sau khi giành quyền admin, hacker có thể cài backdoor, phát tán mã độc, chuyển hướng người dùng sang website độc hại, đánh cắp cơ sở dữ liệu hoặc duy trì quyền truy cập lâu dài vào hệ thống.
Ngay sau khi Wordfence công bố cảnh báo, các cuộc tấn công khai thác CVE-2026-8181 đã nhanh chóng xuất hiện. Hãng bảo mật này cho biết họ đã chặn hơn 7.400 lượt khai thác chỉ trong 24 giờ qua, cho thấy lỗ hổng đang bị tin tặc nhắm mục tiêu mạnh mẽ. Nhà phát triển Burst Statistics đã phát hành bản vá trong phiên bản 3.4.2 vào ngày 12/5/2026. Tuy nhiên, số liệu từ WordPress.org cho thấy mới chỉ có khoảng 85.000 lượt tải bản cập nhật này, đồng nghĩa vẫn còn hơn 100.000 website có khả năng đang nằm trong vùng nguy hiểm.

Các chuyên gia khuyến cáo quản trị viên WordPress cần khẩn trương nâng cấp Burst Statistics lên phiên bản 3.4.2 hoặc tạm thời vô hiệu hóa plugin nếu chưa thể cập nhật ngay lập tức. Đồng thời, nên rà soát các tài khoản quản trị bất thường, kiểm tra nhật ký truy cập REST API và thay đổi thông tin xác thực của các tài khoản có đặc quyền cao để giảm nguy cơ bị xâm nhập.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo lỗ hổng Fragnesia: Nguy cơ leo thang đặc quyền root trên Linux
  • Lỗ hổng Cisco SD-WAN bị khai thác, nguy cơ chiếm quyền quản trị toàn hệ thống
  • Cảnh báo: Chuỗi lỗ hổng Zero-day đe dọa lớp phòng vệ BitLocker trên Windows
  • Lỗ hổng tồn tại suốt 18 năm trong NGINX cho phép thực thi mã từ xa không cần xác thực
  • AI đẩy giá RAM tăng sốc, rủi ro chuỗi cung ứng lộ diện
  • Hàng nghìn máy chủ email Exim có nguy cơ bị RCE qua lỗi xử lý GnuTLS
    • Thẻ
    authentication bypass burst statistics bypass xác thực chiếm quyền admin cve-2026-8181 lỗ hổng bảo mật plugin wordpress wordfence wordpress
    Bên trên