Nowa luka w wtyczce Kirki do WordPressa zagraża bezpieczeństwu administratorów

Ostatnio odkryta podatność w popularnej wtyczce Kirki do WordPressa wzbudza duże zaniepokojenie wśród użytkowników platformy. Zidentyfikowana luka, oznaczona jako CVE-2026-8206, otrzymała najwyższą ocenę 9.8 w systemie CVSS. Problem dotyczy mechanizmu resetowania hasła, którego wykorzystanie może prowadzić do przejęcia konta każdego użytkownika, w tym również administratorów. Zespół badawczy pod kierunkiem AESI Chairs wyjaśnił, że wystarczy jedynie znać nazwę użytkownika, aby przeprowadzić atak.

Już na etapie zbierania informacji badacz o pseudonimie CHOIGYEONGMIN dostrzegł błąd w funkcji handle_forgot_password(), która odpowiada za proces przypominania haseł. W przypadku podania prawidłowej nazwy użytkownika system identyfikuje konto, ale nie sprawdza, czy przypisany adres e-mail również do niego należy. Takie zaniechanie skutkuje wysłaniem linku resetującego hasło na adres podany przez atakującego, co stwarza niebezpieczeństwo. [image_order="1"]

Cała sytuacja jest o tyle niepokojąca, że Kirki to wtyczka, która ma na celu ułatwienie procesu projektowania stron i personalizacji motywów. Z ponad 500 tysiącami pobrań, tylko nieco więcej niż 150 tys. witryn może być narażonych na ten krytyczny błąd, co czyni go groźnym dla szerokiej rzeszy użytkowników. Szacuje się, że wiele witryn wciąż nie zaktualizowało swoich wersji do 6.0.7, w której zmiana ta została zaimplementowana. [ad]

Eksperci zalecają wszystkim posiadaczom witryn opartej na WordPressie natychmiastową aktualizację swojej wtyczki do najnowszej wersji. Oprócz tego warto prześledzić logi w celu wykrycia ewentualnych nieautoryzowanych prób resetowania haseł. Tylko szybkie działanie może zapobiec szkodom oraz utracie kontroli nad witryną. Warto dodać, że autor luk CHOIGYEONGMIN za swoje odkrycie otrzymał nagrodę w wysokości 6436 dolarów w ramach programu Wordfence Bug Bounty. [image_order="2"]