WordPressでプライバシーに配慮したアクセス解析機能を提供するプラグイン「Burst Statistics – Privacy-Friendly WordPress Analytics」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.4.0 から 3.4.1.1 までです。
本脆弱性を悪用された場合、未認証の第三者が管理者になりすまし、プラグインの管理機能を不正に操作できる可能性があります。
対策として、バージョン 3.4.2 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、プラグインが備えるMainWP連携機能(外部の管理ダッシュボードとの通信機能)の認証処理に起因します。リクエストに含まれるパスワード情報をWordPress本体の確認処理に渡す際、その応答を正しく判定できていない状態にありました。
その結果、正規のパスワードを持たない第三者でも、管理者のユーザー名を指定するだけで認証を通過できる状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
管理者アカウントのなりすまし
- 攻撃者が管理者として認証され、プラグインの全管理機能に不正アクセスされる
- プラグインが管理するアクセス解析データ(EC連携を利用している場合は売上統計を含む)が閲覧される
アプリケーションパスワードの不正発行
- プラグインの認証用の受付口を通じて、管理者アカウントに「アプリケーションパスワード」(WordPress管理用の特別なパスワードで、一度発行されると削除するまで有効)が不正に発行される
- この資格情報を取得された場合、プラグイン更新後も攻撃者が外部から管理者権限を維持できる
被害発生の条件
以下の条件がそろった場合に、被害が発生する可能性があります。
- プラグインのバージョン 3.4.0〜3.4.1.1 が有効であること
- 攻撃者が管理者のユーザー名を知っていること
管理者の操作やログインは不要であり、外部から直接攻撃が可能です。
技術的な詳細
※ やや専門的な内容を含みます。対応手順は上記「推奨対応事項」をご確認ください。
この認証処理では、リクエストに添付された認証情報(ユーザー名とパスワード)を、WordPress本体のパスワード確認処理に渡していました。
このパスワード確認処理は、パスワードが一致した場合にユーザー情報を、不一致の場合にはエラーを返します。しかし、対象の管理者にアプリケーションパスワードがそもそも設定されていない場合(一般的な状態)には、「検証対象なし」としてエラーでもユーザー情報でもない応答を返す仕様となっています。
旧バージョンのコードでは、この応答に対して「エラーかどうか」のみを判定しており、「検証対象なし」の応答を認証成功と同等に扱っていました。そのため、攻撃者が実際のパスワードを知らなくても、任意の文字列を指定してリクエストを送信した場合、パスワードの照合自体がスキップされていました。
結果として、ユーザー名だけで管理者として認証される状態となっていました。
対策版では、パスワード確認処理が変更され、応答が正当なユーザーIDであることを明示的に確認するよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(3.4.2 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「ユーザー」から、各管理者ユーザーの「編集」画面を開き、
ページ下部の「アプリケーションパスワード」セクションを確認してください。 - 「Burst MainWP」という名称のアプリケーションパスワードが、管理者自身が意図して作成したものでない場合、不正に発行された可能性があります。該当する項目を「取り消し」してください。
- サーバーのアクセスログを確認できる場合は、「burst/v1/mainwp-auth」を含むURLへのアクセスが、心当たりのない外部IPアドレスから行われていないかも併せて確認してください。
- WordPress管理画面の「ユーザー」から、各管理者ユーザーの「編集」画面を開き、
- 不正アクセスが確認された場合
- 該当する管理者アカウントのパスワードを速やかに変更してください。
- 不審なアプリケーションパスワードをすべて取り消してください。
⇒不審なアプリケーションパスワードや不明なアクセスが確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Burst Statistics – Privacy-Friendly WordPress Analytics 3.4.0 から 3.4.1.1 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-8181 
(公開日 2026年5月14日 更新日 2026年5月14日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (緊急) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-8181 悪用確率 0.31% (上位46%) 2026年5月20日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Burst Statistics プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
