Se ha descubierto una vulnerabilidad crítica en el plugin de WordPress Burst Statistics, una herramienta de análisis enfocada en la privacidad. El fallo, identificado como CVE-2026-8181 y detectado el 8 de mayo de 2026 por la plataforma PRISM de Wordfence, expone a más de 200.000 sitios web al riesgo de que atacantes tomen el control total de las cuentas mediante el bypass de autenticación.

Una vulnerabilidad crítica en un plugin de WordPress ampliamente utilizado ha expuesto más de 200.000 sitios web a la toma de control total de cuentas, generando preocupaciones urgentes en toda la comunidad de seguridad.

Descubierto el 8 de mayo de 2026 por la plataforma de inteligencia de amenazas PRISM de Wordfence, impulsada por IA, el fallo afecta al plugin Burst Statistics, una herramienta de análisis centrada en la privacidad.

Identificada como CVE-2026-8181 con una puntuación CVSS de 9.8, la vulnerabilidad permite que atacantes no autenticados eviten la autenticación y suplanten cuentas de administrador.

El problema afecta a las versiones 3.4.0 hasta la 3.4.1.1 y fue introducido el 23 de abril de 2026.

Cabe destacar que fue identificado en solo 15 días y parcheado 19 días después, lo que resalta cómo el descubrimiento de vulnerabilidades impulsado por IA está reduciendo la ventana de explotación.

Fallo de omisión de autenticación en plugin de WordPress

La vulnerabilidad surge de una validación incorrecta en la integración de MainWP del plugin, específicamente dentro de la función is_mainwp_authenticated().

Esta función procesa las solicitudes de autenticación a través del encabezado de autorización HTTP, pero no verifica la validez de las credenciales.

Debido al manejo inseguro del valor de retorno, el plugin trata cualquier respuesta que no sea un error de la función wp_authenticate_application_password() de WordPress como una autenticación exitosa.

En ciertos casos, esta función devuelve null en lugar de un error cuando la autenticación falla, permitiendo que solicitudes maliciosas pasen sin control.

Un atacante puede explotar este fallo enviando una solicitud de REST API manipulada con un nombre de usuario de administrador válido y cualquier contraseña arbitraria codificada en un encabezado de Autenticación Básica.

El plugin entonces establece el contexto del usuario actual como el administrador objetivo, otorgando efectivamente privilegios totales durante la duración de la solicitud.

La explotación exitosa permite a los atacantes realizar acciones de alto privilegio sin autenticación previa.

Por ejemplo, una sola solicitud al endpoint /wp-json/wp/v2/users podría crear una nueva cuenta de administrador, permitiendo un acceso persistente y la vulneración completa del sitio.

Debido a que la vulnerabilidad afecta a todos los endpoints de la REST API, los atacantes pueden abusar de la funcionalidad central de WordPress más allá del propio plugin, aumentando significativamente la superficie de ataque.

Parche y Mitigación

El equipo de Burst Statistics respondió rápidamente tras la revelación. Wordfence inició la divulgación responsable el 8 de mayo, compartió todos los detalles el 11 de mayo, y el proveedor lanzó una versión parcheada (3.4.2) el 12 de mayo de 2026.

Se te recomienda encarecidamente que actualices inmediatamente a la versión 3.4.2 o posterior para mitigar el riesgo.

Los clientes de Wordfence que utilizan los niveles Premium, Care o Response recibieron protección de firewall el 8 de mayo, mientras que los usuarios gratuitos tienen programado recibir la misma protección el 7 de junio de 2026.

Expertos en seguridad advierten que la simplicidad de la explotación y la falta de autenticación hacen que esta vulnerabilidad sea muy atractiva para los actores de amenazas.

Debes auditar las cuentas de usuario, monitorear los registros y asegurar el parcheo inmediato para evitar compromisos.