Para peretas saat ini tengah aktif mengeksploitasi kerentanan kritis bypass autentikasi pada plugin WordPress Burst Statistics, sebuah plugin analitik yang berfokus pada privasi dan dipasarkan sebagai alternatif ringan untuk Google Analytics. Celah ini memungkinkan penyerang untuk mendapatkan akses tingkat administrator penuh pada situs web yang terdampak.
Kerentanan yang dilacak sebagai CVE-2026-8181 ini memengaruhi plugin versi 3.4.0 (dirilis pada 23 April) dan 3.4.1. Dengan lebih dari 200.000 instalasi aktif, skala ancaman ini cukup masif.
Akar Masalah: Kesalahan Logika pada REST API
Berdasarkan temuan dari tim keamanan Wordfence, kerentanan ini berakar pada kesalahan interpretasi hasil dari fungsi wp_authenticate_application_password().
- Mekanisme Eksploitasi: Sistem secara keliru menganggap respons ‘null’ (atau mengkategorikan ‘WP_Error’) sebagai indikasi autentikasi yang berhasil. Akibatnya, kode memanggil fungsi
wp_set_current_user()menggunakan nama pengguna yang disuplai oleh penyerang. - Dampak: Penyerang jarak jauh tanpa autentikasi, yang hanya bermodalkan pengetahuan tentang username administrator yang valid, dapat sepenuhnya meniru admin tersebut. Mereka hanya perlu memasukkan sembarang kata sandi (yang salah) di Basic Authentication header selama melakukan permintaan REST API (termasuk endpoint inti seperti
/wp-json/wp/v2/users). - Skenario Terburuk: Dalam skenario ekstrem, eksploitasi ini dapat digunakan untuk membuat akun administrator baru tanpa memerlukan autentikasi apa pun sebelumnya.
Dengan hak akses administrator, penyerang leluasa untuk mengakses basis data privat, menanamkan backdoor (pintu belakang), mengarahkan pengunjung ke situs berbahaya, hingga mendistribusikan malware.
Eksploitasi Sedang Berlangsung: Segera Update!
Meskipun baru ditemukan pada 8 Mei 2026, aktivitas peretasan sudah terpantau sangat tinggi. Wordfence melaporkan bahwa mereka telah memblokir lebih dari 7.400 serangan yang menargetkan CVE-2026-8181 hanya dalam kurun waktu 24 jam.
Bagi para pengguna plugin Burst Statistics, sangat direkomendasikan untuk segera memperbarui plugin ke rilis yang telah ditambal, yakni versi 3.4.2 (dirilis pada 12 Mei 2026), atau menonaktifkan plugin tersebut untuk sementara waktu. Mengingat baru sekitar 85.000 unduhan versi terbaru yang tercatat di repositori WordPress, masih ada sekitar 115.000 situs web yang saat ini sangat rentan terhadap pengambilalihan.