「Kirki – Freeform Page Builder, Website Builder & Customizer」WordPressプラグインに深刻なセキュリティ欠陥が発見され、アカウント乗っ取りや権限昇格攻撃にさらされるリスクが生じています。バージョン6.0で導入された脆弱なバージョンを実行しているサイトは、約15万件と推定されています。
CVE-2026-8206として追跡され、CVSSスコア9.8(緊急)と評価されたこの脆弱性は、Kirkiバージョン6.0.0から6.0.6に影響し、バージョン6.0.7で修正済みです。本脆弱性は2026年5月4日に、研究者の CHOIGYEONGMIN氏によってWordfence Bug Bounty Programを通じて報告され、6,436ドルの報奨金が支払われました。
WordPressプラグインの脆弱性詳細
この脆弱性は、Kirkiのパスワードリセット処理に存在しています。具体的には、フロントエンドのアカウント管理用カスタムREST APIエンドポイントとして公開されているCompLibFormHandlerクラスのhandle_forgot_password()関数に問題があります。
この関数は、リクエスト本文からユーザー名とメールアドレスの両パラメータを受け取ります。
- 脆弱性:CVE-2026-8206、CVSS 9.8(緊急)、未認証での権限昇格
- 影響を受けるプラグイン:Kirki – Freeform Page Builder、バージョン6.0.0〜6.0.6
- 影響:パスワードリセットの悪用による管理者を含む全アカウントの完全乗っ取り
- 根本原因:攻撃者が指定したメールアドレスを使用するhandle_forgot_password()のロジック欠陥
- 修正済みバージョン:Kirki 6.0.7(2026年5月18日リリース)
問題の核心は、有効なユーザー名を実在するアカウントに紐付けた後も、WordPressに登録されているそのユーザーのメールアドレスではなく、リクエストで送信されたメールアドレスを使用し続ける点にあります。
その結果、未認証の攻撃者は権限の高いユーザー名と攻撃者が管理するメールアドレスを送信するだけで、有効なリセットリンクを受け取り、そのアカウントのパスワードを自由に変更できてしまいます。
管理者アカウントが侵害された場合、攻撃者は悪意のあるプラグインのインストール、不正な管理者ユーザーの作成、SEOスパムの注入、サイトコンテンツの改ざん、さらには持続的なアクセスと広範な侵害を目的としたウェブシェルの設置といった攻撃を実行できます。
Wordfenceは2026年5月8日に報告書と概念実証を検証し、2026年5月9日にPremium・Care・Responseユーザー向けのファイアウォールルールを配信しました。無料ユーザーへの同様の保護は2026年6月8日に提供される予定です。
Themeumは2026年5月18日に修正済みのKirki 6.0.7をリリースしており、サイト管理者は直ちにアップデートを適用し、管理者アカウントを確認の上、プラグインのRESTエンドポイントを標的とした不審なパスワードリセットの痕跡がないかログを精査することを強く推奨します。
翻訳元: https://gbhackers.com/wordpress-plugin-flaw-4/
