Kirki

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.