Share
## https://sploitus.com/exploit?id=8955C7AC-7CA4-549A-B624-27DD39A5FF5F
EN: Controlled PoC and brief technical notes for authorized security testing of the authentication bypass in Burst Statistics.
    TR: Burst Statistics eklentisindeki kimlik doğrulama atlatası için yetkili güvenlik testi amaçlı kontrollü PoC ve kısa teknik özet.
  



---

## Project overview / Proje özeti

### English

| Field | Detail |
|:---:|:---|
| **What** | **Authentication bypass** (CWE-287) in [Burst Statistics](https://wordpress.org/plugins/burst-statistics/): crafted headers can escalate REST requests to **full admin context**. |
| **Versions** | **Vulnerable:** `3.4.0`, `3.4.1`, `3.4.1.1` · **Use:** **`3.4.2` or newer** |
| **Severity** | CVSS ~9.8 (Critical); remote, unauthenticated in applicable conditions. |
| **This repo** | `CVE-2026-8181.py` — lab automation: single target, bulk list, thread pool, selective TXT output. |

> **Note:** The **[200,000+ active installs](https://wordpress.org/plugins/burst-statistics/)** figure on WordPress.org is the **entire user base** of the plugin — it does **not** mean every site runs a **vulnerable version**. Real impact requires checking **version + environment** (HTTP / application-password availability, etc.).

### Türkçe

| Alan | Detay |
|:---:|:---|
| **Ne** | [Burst Statistics](https://wordpress.org/plugins/burst-statistics/) için **kimlik doğrulama atlatası** (CWE-287). Özel başlıklar ile REST isteğinde **tam yönetici bağlamı**. |
| **Sürüm** | **Etkilenir:** `3.4.0`, `3.4.1`, `3.4.1.1` · **Önerilir:** **`3.4.2` ve üzeri** |
| **Ciddiyet** | CVSS ~9.8 (Critical); uygun koşullarda uzaktan ve kimlik gerektirmeden. |
| **Bu depo** | `CVE-2026-8181.py` — lab otomasyonu: tek hedef, liste taraması, iş parçacığı havuzu, seçici TXT çıktısı. |

> **Not:** WordPress.org’daki **[200.000+ aktif kurulum](https://wordpress.org/plugins/burst-statistics/)** sayısı eklentinin **tüm kullanıcı tabanıdır**; sitelerin **tamamının zafiyetli sürümde** olduğu anlamına **gelmez**. Gerçek etki için **sürüm + ortam** (HTTP, uygulama parolası uygunluğu vb.) doğrulanmalıdır.

---

## Visuals / Dokümantasyon görselleri

### English

GitHub-flavored Markdown does not embed binary **GIFs** without a file in the repo. The **Typing SVG** snippets above (CDN) simulate motion. To add your own screen capture:

```markdown
![Lab demo](./assets/demo.gif)
```

### Türkçe

GitHub Markdown, repoda dosya olmadan **GIF** gömmeyi desteklemez. Üstteki **Typing SVG** (CDN) yazı animasyonu verir. Kendi demosun için:

```markdown
![Lab demo](./assets/demo.gif)
```

---

## Attack chain (Mermaid) / Saldırı zinciri

### English — diagram labels

```mermaid
flowchart LR
  A[Client request] --> B[X-BURSTMAINWP: 1]
  A --> C[Authorization: Basic]
  B --> D[plugins_loaded]
  D --> E[is_mainwp_authenticated]
  E --> F{wp_authenticate_application_password == null?}
  F -->|Mis-handled branch| G[get_user_by login]
  G --> H[wp_set_current_user]
  H --> I[REST: full admin context]
```

### Türkçe — aynı akış

```mermaid
flowchart LR
  A[İstek] --> B[X-BURSTMAINWP: 1]
  A --> C[Authorization: Basic]
  B --> D[plugins_loaded]
  D --> E[is_mainwp_authenticated]
  E --> F{wp_authenticate_application_password == null?}
  F -->|Yanlış dal| G[get_user_by login]
  G --> H[wp_set_current_user]
  H --> I[REST: tam admin bağlamı]
```

---

## Tool features / Araç yetenekleri

### English

| Feature | Description |
|--------|-------------|
| **Single target** | `-u` base URL |
| **Bulk targets** | `-f targets.txt` (one URL per line; `#` comments) |
| **Concurrency** | `-j N` workers (capped) |
| **Combined file** | `-o file.txt` — with `-f`, **only successful exploits** are appended |
| **Per-host files** | `--output-dir` — **only successes** get `host.txt` (failures skipped) |
| **New admin** | `--create-user` — random user via REST (password then appears in report) |
| **TLS (lab)** | `-k` disables certificate verification (trusted labs only) |

With `-f`, **`-o` and `--output-dir` are mutually exclusive.**

### Türkçe

| Özellik | Açıklama |
|--------|-----------|
| **Tek hedef** | `-u` kök adres |
| **Çoklu hedef** | `-f targets.txt` (satır başına URL; `#` yorumu) |
| **Paralellik** | `-j N` işçi (üst sınırlı) |
| **Tek dosya** | `-o dosya.txt` — `-f` ile **yalnızca başarılı exploit** eklenir |
| **Klasör çıktısı** | `--output-dir` — **sadece başarılılar** `host.txt` alır |
| **Yeni admin** | `--create-user` — REST ile rastgele kullanıcı (şifre raporda) |
| **TLS (lab)** | `-k` sertifika doğrulamasını kapatır (yalnızca güvenilir lab) |

`-f` modunda **`-o` ile `--output-dir` aynı anda kullanılamaz.**

---

## Install / Kurulum

```bash
pip3 install requests urllib3
```

---

## Usage examples / Kullanım örnekleri

### English

```bash
# Single site, report file
python3 CVE-2026-8181.py -u http://lab.local -U admin -o report.txt -k

# Single site + new admin (lab)
python3 CVE-2026-8181.py -u http://lab.local -U admin --create-user -o report.txt -k

# Bulk + combined file (successes only)
python3 CVE-2026-8181.py -f targets.txt -j 20 -o successes.txt -k

# Bulk + per-host files in folder (successes only)
python3 CVE-2026-8181.py -f targets.txt -j 20 --output-dir ./results -k
```

### Türkçe

```bash
# Tek site, rapor
python3 CVE-2026-8181.py -u http://lab.local -U admin -o sonuc.txt -k

# Tek site + yeni yönetici (lab)
python3 CVE-2026-8181.py -u http://lab.local -U admin --create-user -o sonuc.txt -k

# Çoklu + birleşik dosya (yalnızca başarılılar)
python3 CVE-2026-8181.py -f targets.txt -j 20 -o basarili.txt -k

# Çoklu + klasörde site başına dosya (yalnızca başarılılar)
python3 CVE-2026-8181.py -f targets.txt -j 20 --output-dir ./results -k
```

---

## Empty `Password:` field / Boş parola satırı

### English

A successful bypass **does not leak the victim user’s real password** — the Basic password in the PoC is **fake**. The `Password:` line stays empty unless **`--create-user`** created a **new** account (then the generated password is written).

### Türkçe

Başarılı bypass **mevcut kullanıcının gerçek parolasını sızdırmaz** — PoC’taki Basic parola **sahtedir**. `Password:` satırı **`--create-user`** ile **yeni** hesap oluşturulmadıkça boş kalır; oluşturulduysa üretilen şifre yazılır.

---

## References / Kaynaklar

### English

- [Burst Statistics — WordPress Plugin Directory](https://wordpress.org/plugins/burst-statistics/)
- Often cited in coordinated disclosure: **Wordfence Threat Intelligence**, **PRISM**
- CVE: [MITRE CVE-2026-8181](https://vulners.com/cve/CVE-2026-8181) · [NVD](https://nvd.nist.gov/vuln/detail/CVE-2026-8181)

### Türkçe

- [Burst Statistics — WordPress eklenti dizini](https://wordpress.org/plugins/burst-statistics/)
- Koordineli açıklamada sık geçen: **Wordfence Threat Intelligence**, **PRISM**
- CVE: [MITRE CVE-2026-8181](https://vulners.com/cve/CVE-2026-8181) · [NVD](https://nvd.nist.gov/vuln/detail/CVE-2026-8181)

---

## Disclaimer / Feragatname

### English

For **written-authorized** assessments and **your own lab** only. Unauthorized use is illegal in many jurisdictions. Authors and this README’s maintainer accept **no liability** for misuse.

### Türkçe

**Yazılı izinli** değerlendirmeler ve **kendi laboratuvarınız** içindir. İzinsiz kullanım birçok ülkede **yasadışıdır**. Yazarlar ve bu README’nin düzenleyicisi kötüye kullanımdan **sorumlu değildir**.