WordPressプラグイン「Kirki」に存在する重大な権限昇格脆弱性(CVE-2026-8206)を悪用し、管理者を含む任意のユーザーアカウントを乗っ取る攻撃が確認されています。
この攻撃は、WordPressセキュリティ企業Defiantによって検出されました。同社のWordfenceファイアウォールは、過去24時間で顧客への222件以上の攻撃試行をブロックしています。
このプラグインの正式名称は「Kirki – Freeform Page Builder, Website Builder & Customizer」です。50万件以上のウェブサイトで稼働しているフリーフォーム型ビジュアルビルダー兼高機能テーマカスタマイザーです。
Wordfenceの報告によると、この問題は最近のメジャーリリースであるバージョン6.0.0で導入され、6.0.6までのバージョンに影響します。WordPress.orgのダウンロード統計によれば、該当バージョンはプラグインユーザーの約40%が使用しています。
CVE-2026-8206は、’handle_forgot_password()’ 関数を通じて、パスワードリセット用のカスタムREST APIエンドポイントが外部に露出していることが原因です。
この脆弱性は、パスワードリセットのリクエスト時に、プラグインが任意のメールアドレスを受け入れてしまうことに起因しています。
ユーザー名が指定されると、プラグインは対応するアカウントの有効なパスワードリセットリンクを生成しますが、そのリンクをアカウント所有者の登録メールアドレスではなく、攻撃者が指定したメールアドレスに送信してしまいます。
この動作により、未認証の攻撃者でも、サイトに登録された任意のユーザーのパスワードリセットリンクを自分の管理下のメールアドレスへ送信させることが容易となり、アカウントを簡単に乗っ取ることができます。
攻撃者が管理者レベルのアクセス権を取得した場合、悪意のあるプラグインのインストール、ウェブサイトコンテンツの改ざん、ウェブシェルや持続的なバックドアの設置、プライベートデータベースへのアクセスなどが可能になります。
この脆弱性はセキュリティ研究者のCHOIGYENGMINによって発見され、2026年5月4日にWordfenceへ報告されました。Wordfenceは5月16日にベンダーへ通知し、2026年5月18日にバージョン6.0.7で修正版をリリースしました。
CVE-2026-8206は現在も積極的に悪用されており、攻撃の実行に必要な条件が非常に低いことを踏まえると、ウェブサイトの所有者・管理者はただちにバージョン6.0.7へアップグレードするか、プラグインを無効化することが強く推奨されます。
検証のギャップ:自動ペネトレーションテストが答える問いはひとつ。必要な問いは6つ
自動ペネトレーションテストツールは確かな価値を提供しますが、それらは「攻撃者はネットワーク内を移動できるか」という一つの問いに答えるために設計されています。コントロールが脅威をブロックできるか、検知ルールが機能するか、クラウド設定が堅牢かどうかをテストするためのものではありません。
本ガイドでは、実際に検証すべき6つの対象領域を解説しています。
