Directoratul Național de Securitate Cibernetică – DNSC anunță o situație de vulnerabilitate critică la nivelul plugin-ului WordPress Kirki. CVE-2026-8206 este o vulnerabilitate critică, cu scor CVSS de 9.8, de tip “Privilege Escalation to Account Takeover”, identificată în plugin-ul WordPress Kirki – Freeform Page Builder, Website Builder & Customizer, ce afectează versiunile cuprinse între 6.0.0 și 6.0.6 (inclusiv).
Vulnerabilitatea permite unui potențial atacator neautentificat să preia controlul asupra conturilor existente prin exploatarea unui mecanism defectuos de resetare a parolei, ceea ce poate conduce la compromiterea completă a site-ului în cazul în care este vizat un cont cu privilegii administrative.
Controlul asupra conturilor existente
Având în vedere impactul ridicat asupra securității și funcționării site-ului, se recomandă actualizarea imediată la o versiune remediată și verificarea platformei pentru eventuale activități suspecte.
CVE-2026-8206 este o vulnerabilitate critică, cu scor CVSS de 9.8, de tip “Privilege Escalation to Account Takeover”, identificată în plugin-ul WordPress Kirki – Freeform Page Builder, Website Builder & Customizer, ce afectează versiunile cuprinse între 6.0.0 și 6.0.6 (inclusiv).
Vulnerabilitatea permite unui potențial atacator neautentificat să preia controlul asupra conturilor existente prin exploatarea unui mecanism defectuos de resetare a parolei, ceea ce poate conduce la compromiterea completă a site-ului în cazul în care este vizat un cont cu privilegii administrative. La data emiterii prezentei alerte, vulnerabilitatea este exploatată activ la nivel global, motiv pentru care se recomandă tratarea acesteia cu prioritate maximă.
Impact
Exploatarea cu succes a vulnerabilității poate conduce la:
- compromiterea conturilor WordPress existente;
- preluarea completă a conturilor cu privilegii administrative;
- modificarea sau ștergerea conținutului site-ului;
- instalarea de plugin-uri sau teme rău intenționate;
- acces neautorizat la date sensibile și configurații interne;
- compromiterea completă a integrității și securității platformei.
În cazul în care contul compromis aparține unui administrator, atacatorul poate obține control total asupra site-ului WordPress.
Recomandarea autorului:
