Una vulnerabilidad crítica en el popular plugin Burst Statistics para WordPress ha expuesto más de 200,000 sitios web a la toma de control total de cuentas administrativas mediante un bypass de autenticación. Identificada el 8 de mayo de 2026 y registrada como CVE-2026-8181, esta falla afecta versiones de la 3.4.0 a la 3.4.1.1, permitiendo a atacantes no autenticados ejecutar acciones con privilegios elevados a través de peticiones REST API maliciosas.
CVE y severidad
| CVE | CVSS | Severidad | Componente afectado | Estado de explotación |
|---|---|---|---|---|
| CVE-2026-8181 | 9.8 | Crítica | Función is_mainwp_authenticated() en plugin Burst Statistics (MainWP integration) | Explotación confirmada, parche disponible |
Productos afectados
El plugin Burst Statistics para WordPress versiones 3.4.0 a 3.4.1.1, utilizado como herramienta analítica enfocada en privacidad.
Solución
Actualizar a la versión 3.4.2 del plugin Burst Statistics.
Recomendaciones
Priorizar la actualización inmediata a la versión parcheada para mitigar los riesgos; auditar las cuentas administrativas activas y revisar registros de acceso para detectar actividades sospechosas.