WordPress CVE-2026-8181 Açık çıktı Risk seviyesi: MAXİMUM !
WordPress ne çektiyse zaten pluginlerden çekti yine bir pluginde ciddi bir açık ortaya çıktı , açık direkt admin yetkisi veriyor , sonrası zaten katliam 😀 Mass exploitini Mürrez kod adlı Türk hacker yayınladı.
CVE-2026-8181, Burst Statistics – Privacy-Friendly WordPress Analytics eklentisini etkileyen kritik bir WordPress açığıdır. Özetle: saldırgan, geçerli bir admin kullanıcı adını biliyorsa sahte Basic Auth bilgisiyle kendini o admin gibi gösterebilir ve REST API isteği boyunca admin yetkisi kazanabilir. Bu yüzden risk seviyesi çok yüksek: CVSS 9.8 Critical.
| Alan | Bilgi |
|---|---|
| CVE | CVE-2026-8181 |
| Ürün | Burst Statistics WordPress eklentisi |
| Etkilenen sürümler | 3.4.0 – 3.4.1.1 |
| Güvenli sürüm | 3.4.2 ve üzeri |
| Açık tipi | Authentication Bypass / Improper Authentication |
| CWE | CWE-287 |
| CVSS | 9.8 Critical |
| Yayın tarihi | 13–14 Mayıs 2026 kaynaklara göre |
| Sömürü şartı | Geçerli bir admin kullanıcı adını bilmek yeterli |
Kaynaklara göre açık, is_mainwp_authenticated() fonksiyonunda application password doğrulaması yapılırken dönüş değerinin hatalı yorumlanmasından kaynaklanıyor. WordPress’in wp_authenticate_application_password() fonksiyonu bazı başarısız durumlarda WP_Error yerine null dönebiliyor; eklenti bunu “hata yoksa başarılıdır” mantığıyla ele aldığı için sahte parola ile admin impersonation oluşabiliyor.
