Wordfence dokumentiert über 7.400 Exploit-Versuche in 24 Stunden nach Disclosure einer Authentication-Bypass-Lücke im Plugin Burst Statistics. Angreifer brauchen nur den Admin-Benutzernamen, das Passwort ist beliebig. Wer das Plugin in Verbindung mit MainWP nutzt, hat ein akutes Problem.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Burst Statistics CVE-2026-8181 hebelt die Authentifizierung im MainWP-Proxy aus. Ein fehlerhafter Return-Value-Check in der Plugin-Logik akzeptiert jeden beliebigen Basic-Auth-Header als gültig, solange ein bekannter Administrator-Benutzername mitgeschickt wird. Das Ergebnis: Vollzugriff auf die WordPress-Installation über die REST-API.

Das Wichtigste in Kürze

  • CVE-2026-8181: Authentication Bypass in Burst Statistics bis Version 3.4.1
  • Angreifer braucht nur den Admin-Benutzernamen, das Passwort kann beliebig sein
  • Über 7.400 Exploit-Versuche in den ersten 24 Stunden nach Disclosure
  • Patch auf Version 3.4.2 ist Pflicht, danach Admin-Passwörter rotieren

Wie der Angriff funktioniert

Blaue Vintage-Klingel an weißer Wand mit goldenem Schild: „Name genügt, Passwort egal.“
Burst Statistics Plugin: Authentifizierungslücke in MainWP-Integration ermöglichte Anmeldung ohne korrektes Passwort

Burst Statistics integriert sich mit MainWP, einer beliebten Multi-Site-Management-Lösung für WordPress-Agenturen. Über einen Authentifizierungs-Proxy übergibt MainWP Anfragen an verbundene Kindersites. Im Plugin steckte ein Logikfehler: Der Return-Value-Check der internen Auth-Funktion prüfte nur, ob ein Username existiert, aber nicht, ob das mitgelieferte Passwort korrekt ist. Ein Angreifer, der den Benutzernamen des Administrators kennt (oft erratbar oder öffentlich sichtbar), kann beliebige API-Aufrufe als dieser Administrator absetzen.

Die Exploit-Welle traf besonders Agentur-Setups. Wer dutzende Kunden-Sites über MainWP verwaltet und Burst Statistics zur Reichweitenmessung einsetzt, hatte über Nacht potenziell hunderte verwundbare Endpunkte. Wordfence hat einen WAF-Block ausgerollt, der die Versuche abfängt. Wer keinen Wordfence-Schutz nutzt, ist auf das Plugin-Update angewiesen.

Was Sie heute tun sollten

Geöffneter Tresor mit Notiz „Admin“, freigestellt auf weißem Hintergrund
Burst Statistics auf 3.4.2 aktualisieren, Admin-Passwörter rotieren, Admin-Konten seit 23. April prüfen

Drei Schritte in dieser Reihenfolge. Erstens: Burst Statistics sofort auf Version 3.4.2 aktualisieren. Wer das Plugin nicht aktiv nutzt, deaktiviert und deinstalliert es. Zweitens: Alle Admin-Passwörter rotieren, weil die Lücke seit dem 23. April im Code steckte und Wordfence-Daten erst ab Disclosure-Datum greifen. Drittens: Admin-Konten auf unbekannte Neuanlagen seit dem 23. April prüfen. Wer einen Admin findet, den er nicht kennt, sollte das Konto sofort löschen und den Vorfall dokumentieren.

Für Agenturen mit MainWP-Infrastruktur kommt ein vierter Punkt: Der Auth-Proxy aller MainWP-Verbindungen sollte überprüft und gegebenenfalls neu autorisiert werden. Wer Zugangs-Tokens nicht aus eigener Initiative rotiert, riskiert, dass kompromittierte Tokens unbemerkt aktiv bleiben.

Wenn der Benutzername reicht und das Passwort egal ist, war die Authentifizierung nie mehr als eine Türschwelle. Agenturen, die hundert Kunden-Sites über einen einzigen Proxy verwalten, haben eine einzige Lücke, die alle gleichzeitig öffnet.

— Michael Dobler, Herausgeber Dr. Web

Was die Lücke über das Ecosystem verrät

Offenes Vorhängeschloss mit orangefarbenem Feld, Text „Nutzername: ADMIN ✓“ und Schlüssel
Authentifizierungsfehler dominieren WordPress-Sicherheitslücken. Drei der vier kritischsten Mai-Disclosures betrafen Auth- oder Access-Control-Probleme statt Code-Execution-Bugs

Authentifizierungsfehler sind laut Patchstack die dominante Lückenklasse im WordPress-Ökosystem. Drei der vier kritischsten Mai-Disclosures betrafen Auth- oder Access-Control-Probleme, nicht klassische Speicher- oder Code-Execution-Bugs. Der Grund liegt in der Architektur: WordPress-Plugins sind oft Glue-Code zwischen HTTP-Request und Datenbankzeile, und der Großteil aller Bugs entsteht in dieser Access-Control-Klebenaht.

Lesetipps:

Die Konsequenz für IT-Verantwortliche: Plugin-Auswahl ist eine Risiko-Entscheidung. Wer ein Plugin installiert, übernimmt dessen Code in die eigene Angriffsfläche. Premium-Plugins sind nicht automatisch sicherer als kostenlose, eher im Gegenteil, weil weniger Sicherheitsforscher Einblick haben.

[kadence_element id="494621"]

Mehr Newshunger?

Alter Schlüssel mit grünem Etikett
WordPress-Plugins gefährdet, Apache-Server von CVE-2026-23918 bedroht, WordPress 7.0 in finaler Testphase, Claude-KI findet Sicherheitslücken
4,4 7 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail