#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

WORDPRESS-ALARM! Burst-Statistics-Lecke reisst JETZT JEDE Site auf — CVSS 9.8, Wordfence rollt Sperrregel in MASSENWELLE aus

WORDPRESS-ALARM! Burst-Statistics-Lecke reisst JETZT JEDE Site auf — CVSS 9.8, Wordfence rollt Sperrregel in MASSENWELLE aus

WordPress-Admins, bitte einmal jetzt durchatmen: CVE-2026-8181 in der weit verbreiteten Burst-Statistics-Erweiterung hat einen CVSS-Score von 9.8 bekommen — was bedeutet, dass jeder ungeauthentifizierte Besucher Administrator-Rechte auf einer ungepatchten Site bekommen kann.

SCHOCK: Plugin nur 15 Tage live, schon gehackt

Der Bug ist mit Version 3.4.0 am 23. April 2026 eingeschleppt worden. Genau 15 Tage spaeter wurde er entdeckt — und innerhalb von 24 Stunden nach Vendor-Notification gab es einen Patch. Wordfence hat am 8. Mai 2026 Firewall-Regeln fuer Premium-Kunden ausgerollt. Free-User bekommen den Schutz erst am 7. Juni 2026. Bis dahin: updaten oder offline gehen.

WIE die Luecke funktioniert

Burst Statistics nutzt einen internen API-Endpunkt zur Daten-Auslieferung, der in den betroffenen Versionen ueber fehlerhafte Capability-Checks verfuegt. Konkret: Ein bestimmter REST-Endpoint validiert die Anfrage nicht korrekt und akzeptiert Auth-Token aus dem Frontend-Kontext, die ein Angreifer faelschen kann. Ergebnis: Vollstaendiger Admin-Zugriff ohne Login.

WAS Angreifer DAMIT machen

  • Backdoor-Plugins einrichten — neue Admin-Accounts, Web-Shells, SEO-Spam-Pages.
  • Datenbank-Exfiltration — User-Mails, gehashte Passwoerter, Bestellungen.
  • Hijack der gesamten Site — Redirects auf Phishing, Crypto-Mining, Malware-Verteilung.

SO updatest du SOFORT

  1. WP-Admin → Plugins → Burst Statistics → Update auf 3.4.2 oder neuer.
  2. Wer WP-CLI nutzt: wp plugin update burst-statistics.
  3. Anschliessend Admin-Audit: Alle User-Accounts pruefen, ungewollte Admins entfernen, ggf. alle Passwoerter zuruecksetzen.
  4. Wordfence / Solid Security / WP Fail2Ban Logs der letzten 30 Tage durchsehen — wer eine ungewoehnliche Aktivitaet an den Burst-REST-Endpoints findet, sollte Forensik fahren.

EXTRA-TIPP: Nicht das einzige WP-Drama im Mai

Auch das Avada-Builder-Plugin hatte im Mai eine schwere Luecke (CVE-2026-4798, Score 7.5), und der Patchstack-Report spricht von 11.334 WordPress-Luecken in einem Jahr. WordPress bleibt Angriffsziel #1 im Open-Source-CMS-Markt — wer eine Site betreibt, sollte mindestens woechentlich updaten und einen WAF-Schutz aktiv haben.

FAZIT: Pflicht-Update binnen 24 Stunden

CVSS 9.8 ist kein Spielzeug. Wer Burst Statistics in einer betroffenen Version laufen hat, sollte JETZT updaten. Wenn nicht moeglich: Plugin temporaer deaktivieren, bis das Update eingespielt ist. Free-Wordfence-User sollten den 7. Juni nicht abwarten — manueller Schutz oder Update sind die einzigen sicheren Wege.

Häufige Fragen

Welche Burst-Statistics-Versionen sind betroffen?
Die Luecke betrifft die Versionen 3.4.0 bis einschliesslich 3.4.1.1. Mit Version 3.4.2 ist der Patch ausgerollt. Wer auf einer Version vor 3.4.0 ist, ist von dieser spezifischen Luecke nicht betroffen — sollte aber dennoch updaten, weil sich in Burst-Statistics-Versionsspruengen weitere Verbesserungen sammeln.
Wie merke ich, ob mein System bereits kompromittiert wurde?
Klassische Indikatoren: neue Admin-User, die du nicht angelegt hast, modifizierte wp-config.php, ungewohnte Plugin-Verzeichnisse, Redirects auf fremde Domains. Wordfence Premium hat seit dem 8. Mai 2026 Logs, in denen verdaechtige Burst-API-Anfragen markiert werden — wer das einsetzt, sollte hier zuerst nachschauen. Ein Defacement-Check mit externen Tools wie Sucuri SiteCheck ist ein schneller Smoke-Test.
Wie behebe ich das Problem konkret?
Auf Burst Statistics 3.4.2 oder neuer updaten ist der erste Schritt. Wenn du das Plugin nicht zwingend brauchst, deinstalliere es zur Sicherheit komplett. Anschliessend: alle Admin-Passwoerter aendern, Session-Tokens invalidieren (mit „User Switching“ oder direkt in der Datenbank), und ein vollstaendiges Sicherheitsaudit mit einem Tool wie Wordfence, Solid Security oder MalCare durchfuehren.
Gab es schon aktive Angriffe?
Wordfence berichtet von ersten Exploit-Versuchen in der Wildbahn ab dem 6. Mai 2026. Die Massenausnutzung bleibt vorerst auf einen kleineren Kreis beschraenkt, weil noch keine vollstaendigen PoC-Skripte im Umlauf sind. Sobald die ersten PoCs auf GitHub auftauchen — was bei CVSS-9.8-Luecken oft binnen einer Woche passiert — wird die Angriffslast deutlich steigen.

Quellen: Undercode News, TechRadar, TechRadar Updates.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert