Atacatorii exploatează o vulnerabilitate critică în pluginul WordPress Kirki pentru a prelua conturi de administrator - patch disponibil în versiunea 6.0.7, după atacuri blocate de Wordfence

O vulnerabilitate critică din pluginul Kirki pentru WordPress este exploatată activ pentru preluarea conturilor de administrator , iar riscul operațional pentru site-urile afectate este imediat, în condițiile în care atacul poate fi lansat fără autentificare, potrivit BleepingComputer . Pluginul vizat, „Kirki - Freeform Page Builder, Website Builder & Customizer”, este activ pe peste 500.000 de site-uri. Problema este o escaladare de privilegii ( CVE-2026-8206 ) care permite atacatorilor să preia orice cont de utilizator, inclusiv conturi de administratori. De ce contează pentru administrarea site-urilor Atacurile au fost detectate de firma de securitate Defiant, iar firewall-ul Wordfence a blocat peste 222 de încercări în ultimele 24 de ore, conform informațiilor din articol. Odată obținut acces de administrator, un atacator poate instala pluginuri malițioase, modifica conținutul site-ului, implementa „web shell”-uri (instrumente de control la distanță pe server) sau „backdoor”-uri persistente și poate accesa baze de date private. Cine este expus și ce versiuni sunt afectate Wordfence indică faptul că vulnerabilitatea a fost introdusă într-un „major release”, versiunea 6.0.0, și afectează versiunile până la 6.0.6. Aceste versiuni ar fi folosite de aproape 40% din baza de utilizatori a pluginului, potrivit statisticilor de descărcare de pe WordPress.org citate în material. Cum funcționează atacul, pe scurt CVE-2026-8206 este cauzată de expunerea unui endpoint (punct de acces) din API-ul REST personalizat pentru resetarea parolei, prin funcția „handle_forgot_password()”. Vulnerabilitatea apare deoarece pluginul acceptă o adresă de e-mail arbitrară în cererile de resetare. În practică, atunci când este furnizat un nume de utilizator, pluginul generează un link valid de resetare pentru contul asociat, dar îl trimite la adresa de e-mail introdusă de atacator, nu la e-mailul înregistrat al proprietarului contului. Astfel, atacatorii neautentificați pot obține linkuri de resetare pentru orice utilizator înregistrat și pot prelua contul. Remediere și pașii recomandați Vulnerabilitatea a fost descoperită de cercetătorul CHOIGYENGMIN, raportată către Wordfence pe 4 mai 2026. Compania a notificat furnizorul pe 16 mai, iar remedierea a fost livrată în versiunea 6.0.7, pe 18 mai 2026. În contextul exploatării active și al cerințelor reduse pentru atac, recomandarea este actualizarea imediată la versiunea 6.0.7 sau dezactivarea pluginului, conform articolului. [...]