夜雨聆风
一款广泛使用的WordPress插件中存在严重漏洞,导致超过200,000个网站面临完整账户接管风险,引发安全社区的紧急关注。
该漏洞由Wordfence的AI驱动PRISM威胁情报平台于2026年5月8日发现,影响注重隐私的分析工具Burst Statistics插件。
该漏洞被追踪为CVE-2026-8181,CVSS评分为9.8,允许未经认证的攻击者绕过身份验证并冒充管理员账户。
问题影响3.4.0至3.4.1.1版本,于2026年4月23日引入。
值得注意的是,该漏洞在15天内即被识别,并于19天后完成修复,凸显了AI驱动的漏洞发现如何缩短可利用窗口期。
WordPress插件认证绕过漏洞漏洞源于插件MainWP集成中的不当验证,具体位于is_mainwp_authenticated()函数内。
该函数通过HTTP Authorization头处理认证请求,但未能验证凭证的有效性。
由于不安全的返回值处理机制,插件将WordPress的wp_authenticate_application_password()函数返回的任何非错误响应均视为认证成功。
在某些情况下,认证失败时该函数会返回null而非错误,导致恶意请求未经检查即可通过。
攻击者可通过发送包含有效管理员用户名和任意密码(经Basic Authentication头编码)的伪造REST API请求来利用此漏洞。
插件随后将当前用户上下文设置为目标管理员,从而在请求期间授予全部权限。
成功利用后,攻击者可在无需预先认证的情况下执行高权限操作。
例如,单次对/wp-json/wp/v2/users端点的请求即可创建新管理员账户,实现持久化访问并完全控制网站。
由于该漏洞影响所有REST API端点,攻击者可滥用超出插件本身的WordPress核心功能,显著扩大攻击面。
补丁和缓解措施Burst Statistics团队在披露后迅速响应。Wordfence于5月8日启动负责任披露流程,5月11日共享完整细节,供应商于2026年5月12日发布修复版本(3.4.2)。
强烈建议用户立即更新至3.4.2或更高版本以降低风险。
使用Premium、Care或Response服务层级的Wordfence客户已于5月8日获得防火墙防护,免费用户将于2026年6月7日获得同等防护。
安全专家警告称,该漏洞因利用简单且无需认证,对威胁行为者极具吸引力。
管理员应审计用户账户、监控日志并确保立即完成补丁部署,以防止系统遭入侵。
