KirkiおよびBurst Statistics WordPressプラグインに存在する2つの脆弱性を悪用した攻撃により、数十万件のウェブサイトが危険にさらされている可能性があるとDefiantが警告しています。
Kirkiはウェブサイトや自由形式ページの作成、WordPressカスタマイザーの拡張機能を提供するプラグインです。バージョン6.0.0から6.0.6が、認証不要の権限昇格およびアカウント乗っ取りの脆弱性の影響を受けています。
CVE-2026-8206(CVSSスコア9.8)として追跡されているこの問題は、プラグインのパスワードリセット処理に影響するもので、攻撃者がユーザー名と任意のメールアドレスを指定し、そのアドレスにパスワードリセットキーを送信させることができました。
「つまり、認証されていない攻撃者が、高い権限を持つユーザー名と攻撃者が管理するメールアドレスを組み合わせたリクエストを送信するだけで、標的アカウントの有効なパスワードリセットリンクを入手できます」とDefiantは説明しています。
攻撃者はそのリセットリンクを使って標的アカウントを乗っ取ることができます。管理者アカウントのパスワードをリセットすれば、ウェブサイト全体を掌握することも可能です。
Burst StatisticsはWordPress向けの軽量プラグインで、サイトトラフィック、訪問者の流入元、ページパフォーマンスなどを一目で把握できる直感的な分析ダッシュボードをユーザーに提供します。
このプラグインのバージョン3.4.0から3.4.1.1は認証バイパスの脆弱性の影響を受けており、認証されていない攻撃者が管理者権限へ昇格し、脆弱なサイトを乗っ取ることが可能でした。
この脆弱性は、Authorizationヘッダーからアプリケーションパスワードをバリデーションする関数が誤った戻り値を返すことに起因しており、攻撃者はREST APIリクエストを送信することで、そのリクエストの間だけ管理者になりすますことができました。
「このプラグインはリクエストを認証済みとして誤って処理し、指定された管理者アカウントを現在のユーザーに設定してしまいます。その結果、新しい管理者アカウントの作成など、管理者レベルのREST API機能への不正アクセスが可能になります」とDefiantは指摘しています。
同社は過去24時間でこれらの脆弱性を標的とした数千件の攻撃をブロックしたとしており、数十万件のウェブサイトが潜在的なリスクにさらされていると警告しています。
Kirkiのアクティブインストール数は50万件を超えますが、脆弱なバージョンを実行しているサイトは約15万件と見られています。Burst Statisticsのアクティブインストール数は20万件以上です。
ユーザーはKirkiをバージョン6.0.7以降に、Burst Statisticsをバージョン3.4.2以降にアップデートすることが推奨されます。これらのバージョンには、悪用されているセキュリティ上の欠陥に対するパッチが含まれています。
翻訳元: https://www.securityweek.com/kirki-burst-statistics-wordpress-plugin-flaws-in-attackers-crosshairs/
