Falha crítica compromete a segurança de 200 mil sites WordPress

Falha CVE-2026-8181 no plugin Burst Statistics coloca 200 mil sites WordPress em risco de invasões sem senha. Saiba como agir.

18/05/2026 13:50

3 min

Falha crítica compromete a segurança de 200 mil sites WordPress
(Imagem de reprodução da internet).

Vulnerabilidade Crítica no WordPress: CVE-2026-8181

Uma grave vulnerabilidade, identificada como CVE-2026-8181, foi descoberta no plugin Burst Statistics do WordPress em 8 de maio de 2026. Essa falha permite que invasores não autenticados assumam o controle total de sites, como se fossem administradores, sem a necessidade de senhas. Estima-se que cerca de 200 mil instalações em todo o mundo estejam em risco, e, apesar da correção lançada em 12 de maio, aproximadamente 115 mil sites ainda permanecem vulneráveis.

O que é o CVE-2026-8181 e por que ele é tão grave

O CVE-2026-8181 é classificado como uma falha de bypass de autenticação na API REST do WordPress. Isso significa que um atacante pode se passar por um administrador durante requisições à API, obtendo acesso irrestrito ao painel de controle do site. A vulnerabilidade foi introduzida em 23 de abril de 2026, durante uma atualização do plugin, e permaneceu ativa até sua descoberta.

Como a IA detectou o que os humanos não viram

A identificação do CVE-2026-8181 foi realizada pela plataforma PRISM, da Wordfence, que utiliza inteligência artificial para rastrear vulnerabilidades em plugins do WordPress. Essa abordagem é crucial, pois a capacidade humana de auditar código em tempo real é limitada. A IA conseguiu detectar a falha rapidamente, o que pode ser decisivo em situações de ataques direcionados.

A linha do tempo e o que ainda está em aberto

A resposta ao CVE-2026-8181 foi rápida. A Wordfence identificou a falha em 8 de maio e, em 12 de maio, lançou a versão corrigida 3.4.2. No entanto, desde o lançamento do patch, cerca de 115 mil instalações ainda não foram atualizadas, permanecendo vulneráveis.

Proteção em camadas: quem está coberto e quem não está

Usuários com assinaturas Wordfence Premium receberam proteção via firewall desde a descoberta da vulnerabilidade. Já os usuários da versão gratuita terão essa proteção apenas em 7 de junho de 2026. Para aqueles que não puderem atualizar imediatamente, a recomendação é desabilitar o plugin até que a atualização possa ser aplicada.

Leia também

Google expõe informações sobre agente de IA concorrente do Claude Cowork

Google expõe informações sobre agente de IA concorrente do Claude Cowork

ChatGPT Codex será lançado para celulares em 2026

ChatGPT Codex será lançado para celulares em 2026

Gov.br fora do ar impacta milhões de usuários em todo o país

Gov.br fora do ar impacta milhões de usuários em todo o país

O problema sistêmico por trás de um CVE

O CVE-2026-8181 não é um caso isolado. Em 2024, 96% das vulnerabilidades no ecossistema WordPress eram provenientes de plugins de terceiros. Isso destaca a necessidade de uma governança ativa sobre o uso de plugins, com políticas de atualização e auditorias periódicas.

O que fazer agora

As equipes de TI devem mapear todos os ambientes que utilizam o plugin Burst Statistics e verificar se a versão instalada é a 3.4.2 ou superior. Se a atualização não for possível, o plugin deve ser desabilitado até que o patch seja aplicado. Essa situação também oferece uma oportunidade para revisar processos de resposta a patches críticos e garantir que os SLAs internos estejam alinhados com as exigências das ameaças modernas.

Fonte por: Its Show

Autor(a):

Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!