WordPressプラグイン「Burst Statistics」に認証バイパスの致命的欠陥（CVE-2026-8181）——約11.5万サイトが管理者乗っ取りリスク

Googleアナリティクスの代替として20万サイトに導入されているWordPressプラグイン「Burst Statistics」に、認証を一切必要とせず管理者権限を奪取できる致命的な脆弱性（CVE-2026-8181）が発見され、現在も大規模な悪用が続いていることがセキュリティ企業Wordfenceの調査で明らかになった。

何が起きているのか

脆弱性はBurst Statisticsのバージョン3.4.0（4月23日リリース）で混入し、3.4.1にも引き継がれた。Wordfenceが5月8日に発見し、5月12日リリースの3.4.2で修正されている。

攻撃のポイントは、WordPressのREST API認証処理にある。本来、wp_authenticate_application_password() 関数が認証失敗を示す WP_Error を返した場合はリクエストを弾かなければならない。ところがBurst Statisticsのコードはこれを「認証成功」と誤って解釈し、攻撃者が指定したユーザー名で wp_set_current_user() を呼び出してしまう。

さらにWordPressが特定条件下で null を返すケースも同様に認証済みとして扱われる。結果として、管理者ユーザー名さえわかれば、パスワードに何を入力しても管理者として振る舞えるという壊滅的な状態になる。

管理者ユーザー名はブログ投稿の著者欄やコメント欄、あるいは /wp-json/wp/v2/users のようなパブリックAPIエンドポイントから容易に取得可能だ。ブルートフォースで推測する手法も使われている。

被害の現状

Wordfenceによれば、直近24時間だけで7,400件以上の攻撃をブロックしており、すでに本格的な悪用フェーズに入っている。WordPress.orgの統計では3.4.2のダウンロード数が約8.5万件にとどまっており、残る約11.5万サイトが現時点も管理者乗っ取りのリスクにさらされている。

管理者権限を奪われた場合の影響は甚大だ。不正な管理者アカウントの作成、マルウェアの埋め込み、バックドアの設置、訪問者の悪意あるサイトへのリダイレクト、プライベートデータベースへのアクセスなど、サイトを完全に掌握される。

実務での対応ポイント

今すぐやること：

• Burst Statistics 3.4.2への即時アップデート。WordPress管理画面の「プラグイン」→「更新」から実施できる
• アップデートが困難な場合は一時的にプラグインを無効化する
• WordPressの管理者ユーザー一覧を確認し、見覚えのないアカウントが作成されていないかチェックする（wp_users テーブルまたは管理画面の「ユーザー」メニュー）

中長期的な対策：

• WordPressのREST APIへのアクセスをWAF（Web Application Firewall）でフィルタリングする。Cloudflareなどのサービスを活用することで、認証されていないREST APIへのアクセスを一括でブロックできる
• ブログ著者名と管理者ユーザー名を一致させない。表示名と実際のログインユーザー名は切り離せる
• Wordfenceなどのセキュリティプラグインを導入し、異常なログイン試行を検知・ブロックする体制を整える
• サーバーサイドでのBASIC認証やIPホワイトリストで /wp-json/ へのアクセス自体を制限することも有効

筆者の見解

今回の脆弱性は技術的に見ると「エラーオブジェクトを成功として解釈した」という、コードレビューで一目見ればわかるはずのミスだ。しかしこれが実際のリリースに紛れ込み、20万サイトに配布されてしまった。

WordPressプラグインエコシステムの構造的な問題がここに凝縮されている。オープンソースで誰でも公開できる手軽さが魅力である一方、セキュリティレビューの品質は開発者個人の力量に依存しきっている。特にREST APIやアプリケーションパスワードまわりの認証コードは、WordPress特有の返り値の仕様（WP_Error、WP_User、null の三択）を正確に理解していないと今回のような落とし穴にはまりやすい。

もう一点、今回注目したいのはWordfenceの対応速度だ。5月8日の発見から4日で修正版がリリースされ、WAFルールも即日展開された。脆弱性が見つかってから修正リリースまでのタイムラインとしては十分に速い。問題はそれでも8割近いサイトがまだアップデートしていないという現実のほうだ。

「管理者ユーザー名がわかれば侵入できる」という設計上のリスクは、VPNに頼った旧来のペリメータ防御の考え方と同じ匂いがする。ゼロトラストの文脈で言えば、「ネットワーク内にいるから信頼できる」「ユーザー名を知っているから本物だ」という前提自体を疑い、REST APIエンドポイントに対しても適切な多要素認証と最小権限の原則を適用することが求められる。サイト管理者にとって、今回の事件はプラグインの更新習慣を見直す良い機会でもある。

出典: この記事は Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin の内容をもとに、筆者の見解を加えて独自に執筆したものです。