https://cyberveille.ch/tags/cve-2026-8181/ Recent content in CVE-2026-8181 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 08 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-08-cve-2026-8181-bypass-d-authentification-critique-dans-le-plugin-wordpress-burst-statistics/ Mon, 08 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-08-cve-2026-8181-bypass-d-authentification-critique-dans-le-plugin-wordpress-burst-statistics/ <h2 id="-contexte">🔍 Contexte</h2> <p>Source : CrowdSec Tracker (<a href="https://tracker.crowdsec.net/cves/CVE-2026-8181)">https://tracker.crowdsec.net/cves/CVE-2026-8181)</a>, publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026.</p> <h2 id="-vulnérabilité">🐛 Vulnérabilité</h2> <p><strong>CVE-2026-8181</strong> est une <strong>vulnérabilité critique d&rsquo;authentification bypass</strong> (CVSS : <strong>9.8</strong>) affectant le plugin <strong>Burst Statistics – Privacy-Friendly WordPress Analytics</strong> pour <strong>WordPress CMS</strong>, dans les versions <strong>3.4.0 à 3.4.1.1</strong>.</p> <p>La faille réside dans une <strong>mauvaise gestion de la valeur de retour</strong> de la fonction <code>is_mainwp_authenticated()</code> lors de la validation des mots de passe d&rsquo;application issus de l&rsquo;en-tête <code>Authorization</code>. Un attaquant non authentifié, connaissant le <strong>nom d&rsquo;utilisateur d&rsquo;un administrateur</strong>, peut usurper son identité en fournissant <strong>n&rsquo;importe quel mot de passe</strong> en Basic Authentication, aboutissant à une <strong>élévation de privilèges</strong>.</p>