WordPressプラグイン「Kirki Freeform Page Builder, Website Builder & Customizer」に、認証不要で権限昇格が可能なクリティカルな脆弱性が発見され、現在野生での積極的な悪用が確認されています。攻撃者はこの脆弱性を悪用することで、脆弱なサイトの管理者権限を完全に掌握できます。
CVE-2026-8206として追跡されており、CVSSスコアは9.8(Critical)と評価されています。対象はKirkiバージョン6.0.0から6.0.6までの全バージョンです。
この脆弱性は、プラグインのCompLibFormHandlerクラス内にあるhandle_forgot_password()関数に存在しています。この関数は、パスワードリセット用のカスタムREST APIエンドポイントを処理しています。
Wordfenceによると、この関数はHTTPリクエストボディからusernameとemailの両パラメータを直接受け取ります。
ユーザー名が指定された場合、プラグインは対応するWordPressアカウントを正しく取得し、get_password_reset_key()を使って有効なリセットキーを生成します。しかしその後、致命的なロジックエラーが発生します。リセットリンクを登録済みのメールアドレスに送信する代わりに、別の宛先に送ってしまうのです。
この欠陥が招く実害は、その単純さ故に深刻です。認証されていない攻撃者は、エンドポイントに対して単一のPOSTリクエストを送信し、adminなどの既知のユーザー名を指定して、自分のメールアドレスを配信先として含めるだけで攻撃が成立します。
プラグインは正規のパスワードリセットリンクを生成し、そのまま攻撃者の受信ボックスに送信してしまいます。指定されたメールアドレスがアカウントに登録されたものと一致するかどうかの検証は、一切行われません。
あとは攻撃者がリンクをクリックして新しいパスワードを設定するだけで、対象アカウントへの無制限なアクセスが得られます。この一連の攻撃には、認証もユーザーの操作も不要で、技術的なスキルもほとんど必要ありません。
Kirkiは世界中で50万以上のアクティブなWordPressサイトにインストールされており、エコシステムの中でも広く普及しているページビルダープラグインの一つです。
Wordfenceの推計によると、そのうち約15万のサイトが脆弱なバージョンを実行しています。この脆弱性はメジャーリリースである6.0で導入されたものであり、それ以前のバージョンには影響しません。
研究者のCHOIGYEONGMIN氏は2026年5月4日、Wordfence Bug Bounty Programを通じて最初の報告を提出し、その発見に対して6,436ドルのバウンティを獲得しました。
2026年6月2日の公開開示から24時間以内に、Wordfenceはカスタマーベース全体でこの脆弱性を標的とした222件以上の悪用試行をブロックしたと報告しています。
Wordfence Vulnerability Management Portalを通じて2026年5月15日に開発チームのThemeumへ完全な情報開示が行われ、ベンダーは5月16日に報告を受領、2026年5月18日に完全修正済みのバージョン6.0.7をリリースしました。
Kirkiバージョン6.0.0から6.0.6を実行しているWordPressサイトは、この問題を緊急アップデートとして扱う必要があります。管理者はWordPressダッシュボードまたはWP-CLIを通じて、直ちにバージョン6.0.7以降へアップグレードしてください。
アップデート後は、全登録ユーザーアカウントに不正な追加がないか監査し、サイトファイルに新たに導入されたウェブシェルや改ざんされたプラグインコードがないか確認し、CVE-2026-8096に関連するデータ漏洩の可能性を念頭に保存済みのKirkiフォーム送信データもレビューすることをお勧めします。
大規模な悪用が確認されており、攻撃の障壁が極めて低いことから、パッチ適用を遅らせることはサイト全体の侵害リスクを大幅に高めます。
翻訳元: https://cyberpress.org/wordpress-plugin-flaw-exposed/
