O vulnerabilitate critica a fost descoperita in Kirki - Freeform Page Builder, un plugin popular dezvoltat de Themeum, folosit pe peste 500.000 de site-uri pentru personalizarea temelor si construirea paginilor. Problema, identificata drept CVE-2026-8206 si evaluata cu scorul maxim de risc, CVSS 9.8, permite unui atacator neautentificat sa preia orice cont de pe site, inclusiv conturile de administrator, profitand de un mecanism defectuos de resetare a parolei. Potrivit cercetatorilor, vulnerabilitatea este deja exploatata activ.
Cauza tehnica se afla in functia handle_forgot_password, care primeste in aceeasi cerere atat un nume de utilizator, cat si o adresa de e-mail. Dupa ce identifica corect contul dupa numele de utilizator, pluginul trimite linkul de resetare catre adresa de e-mail furnizata de atacator, in loc de adresa inregistrata in cont. Astfel, cu un simplu nume de utilizator cunoscut si o adresa de e-mail controlata de atacator, acesta poate primi linkul, seta o parola noua si obtine acces complet, totul printr-o singura cerere, fara autentificare si fara interactiunea victimei. Sunt afectate versiunile de la 6.0.0 pana la 6.0.6, iar corectia a fost livrata in versiunea 6.0.7.
Exploatarea este facilitata si de faptul ca numele de utilizator pot fi adesea aflate prin metode obisnuite de enumerare specifice WordPress. Odata ce un cont de administrator este compromis, atacatorul poate instala pluginuri malitioase, crea conturi de administrator suplimentare, injecta spam, exfiltra date sau plasa webshell-uri pentru acces persistent. Un aspect important este ca Kirki ajunge uneori pe site-uri ca dependinta inclusa in teme, asa ca unii proprietari il pot avea instalat fara sa stie.
Recomandarea principala este actualizarea imediata a pluginului la versiunea 6.0.7 sau mai noua. Daca actualizarea nu este posibila pe loc, pluginul ar trebui dezactivat temporar. In plus, este indicata verificarea listei de administratori pentru conturi sau modificari neasteptate, analiza logurilor pentru e-mailuri de resetare trimise catre adrese necunoscute, delogarea fortata a tuturor utilizatorilor dupa aplicarea corectiei si dezactivarea enumerarii numelor de utilizator.
Noi, echipa Gazduire.Net, am luat la cunostinta de aceasta vulnerabilitate si facem tot ce tine de noi la nivel de infrastructura, folosind solutii de protectie precum Imunify si LiteSpeed pentru a reduce riscul si a bloca activitatea suspecta la nivelul serverelor. Reamintim insa ca actualizarea sau dezactivarea pluginului ramane responsabilitatea administratorului ori a designerului fiecarui site. Gazduim zeci de mii de site-uri WordPress, asa ca masura concreta apartine proprietarului fiecarui site.
Incidentul arata ca riscul se ascunde adesea in componente mai putin urmarite, cum ar fi framework-urile de personalizare a temelor si dependintele incluse automat. Mentinerea la zi a intregului inventar de pluginuri si teme, nu doar a celor evidente, ramane una dintre cele mai eficiente masuri de protectie.
Categorii
- Noutati186
- Oferte5
- Tutoriale117
- Intrebari frecvente73