駭客利用 WordPress 外掛 Burst Statistics 中的一個嚴重身份驗證繞過漏洞，以取得網站的管理員等級存取權限。Burst Statistics 是一款注重隱私的分析插件，已在 20 萬個 WordPress 網站上投入使用，並作為 Google Analytics 的輕量級替代品進行銷售。

此漏洞編號為 CVE-2026-8181，於 4 月 23 日隨插件 3.4.0 版本發布而引入。後續版本 3.4.1 中也存在該漏洞程式碼。據 Wordfence 稱，該漏洞於 5 月 8 日被發現，其攻擊者利用未經身份驗證的攻擊者在 REST API 請求期間冒充已知的管理員用戶，甚至創建惡意管理員帳戶。

雖然 Wordfence 在其帖子中警告說，預計此漏洞將成為攻擊者的目標，因此盡快更新到最新版本至關重要，但其追蹤器顯示惡意活動已經開始。據同一平台稱，這家網站安全公司在過去 24 小時內攔截了超過 7400 次針對 CVE-2026-8181 的攻擊，因此該活動意義重大。

建議 Burst Statistics 外掛程式的用戶升級至 2026 年 5 月 12 日發布的已修復版本 3.4.2，或在其網站上停用該外掛程式。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-auth-bypass-flaw-in-burst-statistics-wordpress-plugin/