WordPress’in popüler Burst Statistics eklentisinde keşfedilen kritik bir kimlik doğrulama atlatma zafiyeti, web sitelerine yönetici seviyesinde erişim sağlamak için aktif olarak kullanılıyor. 200 bin WordPress sitesinde etkin olan ve Google Analytics’e hafif bir alternatif olarak pazarlanan gizlilik odaklı analiz eklentisi, bu açık nedeniyle büyük bir tehdit altında bulunuyor. Wordfence tarafından tespit edilen CVE-2026-8181 numaralı güvenlik açığı, kimliği doğrulanmamış saldırganların REST API istekleri sırasında bilinen yönetici kullanıcılarının kimliğine bürünmesine ve hatta sahte yönetici hesapları oluşturmasına olanak tanıyor.

Açık, Eklentinin 3.4.0 ve 3.4.1 Sürümlerinde Bulunuyor

Wordfence’in 8 Mayıs’ta keşfettiği CVE-2026-8181 Burst Statistics açığı, eklentinin 23 Nisan’da yayınlanan 3.4.0 sürümüyle birlikte koda eklenmişti. Güvenlik açığı, aynı zamanda bir sonraki sürüm olan 3.4.1’de de varlığını sürdürdü. WordPress eklenti güvenlik zafiyeti olarak nitelendirilen bu sorunun temel nedeni, ‘wp_authenticate_application_password()’ fonksiyonunun sonuçlarının yanlış yorumlanmasından kaynaklanıyor.

Wordfence’in açıklamasına göre, bu güvenlik açığı, geçerli bir yönetici kullanıcı adını bilen kimliği doğrulanmamış saldırganların, Temel Kimlik Doğrulama başlığına herhangi bir rastgele ve yanlış parola ekleyerek REST API istekleri süresince o yöneticinin kimliğine tamamen bürünmesine olanak tanıyor. En kötü senaryoda, bir saldırgan bu açığı kullanarak hiçbir kimlik doğrulama olmadan yeni bir yönetici düzeyinde hesap oluşturabiliyor.

Saldırganlar Yönetici Hesaplarını Ele Geçiriyor

Güvenlik araştırmacıları, WordPress’in bazı durumlarda ‘null’ döndürebileceğini ve bunun hatalı bir şekilde kimliği doğrulanmış istek olarak değerlendirildiğini açıklıyor. Bu durumda kod, saldırgan tarafından sağlanan kullanıcı adıyla ‘wp_set_current_user()’ fonksiyonunu çağırarak REST API isteği süresince o kullanıcının kimliğine etkili bir şekilde bürünüyor. WordPress REST API kimlik doğrulama hatası sayesinde yönetici kullanıcı adları blog gönderilerinde, yorumlarda veya halka açık API isteklerinde ifşa olabiliyor. Saldırganlar ayrıca bu kullanıcı adlarını bulmak için kaba kuvvet tekniklerini de kullanabiliyor.

Yönetici düzeyinde erişim elde eden saldırganlar, özel veritabanlarına erişebiliyor, arka kapılar yerleştirebiliyor, ziyaretçileri güvenli olmayan yerlere yönlendirebiliyor, kötü amaçlı yazılım dağıtabiliyor ve sahte yönetici kullanıcıları oluşturabiliyor.

Wordfence Son 24 Saatte 7.400’den Fazla Saldırı Engelledi

Wordfence’in uyarısında, bu güvenlik açığının saldırganlar tarafından hedef alınmasının beklendiği ve en kısa sürede en son sürüme güncelleme yapılmasının kritik olduğu belirtiliyor. Platformun verilerine göre, güvenlik firması son 24 saat içinde CVE-2026-8181’i hedef alan 7.400’den fazla saldırıyı engelledi. Bu rakam, aktivitenin ne kadar ciddi boyutlarda olduğunu gözler önüne seriyor.

Burst Statistics kullanıcılarının, 12 Mayıs 2026’da yayınlanan güvenlik güncellemesi olan 3.4.2 sürümüne yükseltmeleri veya eklentiyi sitelerinde devre dışı bırakmaları şiddetle tavsiye ediliyor. WordPress.org istatistiklerine göre, 3.4.2 sürümünün yayınlanmasından bu yana Burst Statistics 85 bin kez indirildi. En son sürümün tüm bu indirmeleri kapsadığı varsayılsa bile, halen yaklaşık 115 bin sitenin yönetici ele geçirme saldırılarına açık olduğu tahmin ediliyor.