Пријави инцидент
Пријави инцидент

Критична ранливост во Kirki се злоупотребува за преземање на WordPress администраторски сметки

Објавено: 03.06.2026

Хакери активно ја злоупотребуваат критичната ранливост за ескалација на привилегии CVE-2026-8206 во додатокот Kirki за WordPress, што им овозможува да преземат која било корисничка сметка, вклучително и администраторски профили.

Нападите беа откриени од компанијата за WordPress безбедност Wordfence, чиј заштитен ѕид (firewall) блокирал повеќе од 222 обиди за експлоатација кај нивните клиенти во последните 24 часа.

Целосното име на додатокот е Kirki – Freeform Page Builder, Website Builder & Customizer. Станува збор за визуелен алат за изработка на веб-страници и напредно прилагодување на теми, кој е активен на повеќе од 500.000 веб-страници.

Кои верзии се погодени?

Според Wordfence, ранливоста е воведена со големото ажурирање верзија 6.0.0 и ги засега сите верзии до 6.0.6.

Според статистиките од WordPress.org, речиси 40% од корисниците на Kirki сè уште користат една од погодените верзии.

Како функционира ранливоста?

Ранливоста CVE-2026-8206 е предизвикана од изложен REST API endpoint за ресетирање лозинки преку функцијата handle_forgot_password().

Проблемот настанува затоа што додатокот прифаќа произволна е-пошта (email адреса) при барање за ресетирање лозинка.

Кога напаѓачот ќе внесе корисничко име:

  1. Додатокот генерира валиден линк за ресетирање на лозинката.
  2. Наместо линкот да биде испратен на регистрираната адреса на корисникот,
  3. Тој се испраќа на е-поштата што ја внел напаѓачот.

Ова им овозможува на неавтентицирани напаѓачи лесно да генерираат линкови за ресетирање лозинка за кој било корисник регистриран на веб-страницата и да ја преземат неговата сметка.

Последици од успешен напад

Доколку напаѓачот добие администраторски пристап, може:

  • Да инсталира злонамерни WordPress додатоци.
  • Да ја измени содржината на веб-страницата.
  • Да постави web shell или трајни backdoor механизми.
  • Да пристапи до приватни бази на податоци.
  • Да преземе целосна контрола врз веб-страницата.

Откривање и поправка

Ранливоста беше откриена од безбедносниот истражувач CHOIGYENGMIN, кој ја пријавил до Wordfence на 4 мај 2026 година.

Wordfence го известил развивачот на додатокот на 16 мај 2026 година, а поправката била објавена само два дена подоцна, на 18 мај 2026 година, со издавањето на Kirki верзија 6.0.7.

Препораки

Со оглед на тоа што:

  • ранливоста веќе активно се злоупотребува,
  • нападот не бара автентикација,
  • експлоатацијата е релативно едноставна,

сопствениците и администраторите на WordPress веб-страници кои го користат Kirki треба веднаш да го ажурираат додатокот на верзија 6.0.7 или понова, или привремено да го оневозможат додатокот додека не можат да извршат ажурирање.

Одложувањето на ажурирањето може да резултира со компромитирање на кориснички сметки и целосно преземање на веб-страницата од страна на напаѓачите.

Извори:

  • Bleeping Computer – Critical Kirki flaw exploited to hijack WordPress admin accounts Bleeping Computer