Kirki адмін-ризик

Оновіть Kirki та перевірте адміністраторів.

Вразливість Kirki CVE-2026-8206 зі скиданням пароля та захопленням адміністратора WordPress.

Власникам WordPress-сайтів із Kirki варто перевірити версію плагіна та облікові записи адміністраторів після розкриття CVE-2026-8206. За даними Wordfence, Kirki 6.0.0-6.0.6 може приймати адресу електронної пошти, яку підставив атакувальник, у процесі скидання пароля. Через це неавторизований зловмисник здатен отримати лист зі скиданням пароля для іншого користувача, зокрема адміністратора. Мінімальна виправлена версія – 6.0.7, а в каталозі WordPress.org зараз вказана стабільна 6.0.9.

Це інший сценарій, ніж нещодавня вразливість WP Maps Pro з автоматичним створенням адміністратора. У Kirki ризик тихіший: атакувальнику не потрібно спочатку створювати помітний новий акаунт. Достатньо знати ім’я користувача, спрямувати лист скидання пароля на свою адресу й увійти як цей користувач, якщо вразливий обробник доступний.

Кого це стосується

Вразливий діапазон – Kirki 6.0.0-6.0.6. Wordfence оцінює, що вразлива гілка може зачіпати близько 150 000 сайтів, тоді як WordPress.org показує понад 500 000 активних інсталяцій Kirki. Якщо сайт ніколи не переходив на гілку 6.0, ризик інший, але адміністратору все одно потрібно перевірити встановлену версію, особливо коли плагін підключений через тему.

ПеревіркаЩо це означає
Kirki 6.0.0-6.0.6Вразлива версія. Оновіть до 6.0.7 або новішої.
Kirki 6.0.7+Виправлено саме цю помилку скидання пароля. Якщо сайт був відкритий до оновлення, перевірте журнали.
Неочікуваний лист скидання пароляРозглядайте це як сигнал можливої атаки, а не як дрібну незручність.
Новий адміністратор, плагін, PHP-файл або редиректПрипускайте, що захоплення акаунта могло перейти в стійке зараження сайту.

Що може зробити атакувальник після входу

Адміністраторського акаунта достатньо, щоб перетворити WordPress-сайт на майданчик для шкідливих редиректів або фішингу. Після входу атакувальник може встановити плагін, змінити файли теми, додати вебшел, вставити JavaScript-редиректи або змінити сторінки для SEO-спаму. Тому реакція не має завершуватися лише оновленням плагіна, якщо сайт працював із вразливою версією під час публічного розкриття.

Подібний посткомпромісний сценарій уже видно в інших інцидентах: наприклад, у WordPress-бекдорі з C2 через Steam та кампанії Ghost CMS із ClickFix. Головне питання: вразливість лише була доступна, чи вона вже призвела до змін в акаунтах, плагінах, файлах або редиректах.

Що зробити зараз

  1. Відкрийте сторінку плагінів WordPress і оновіть Kirki до 6.0.7 або новішої. Якщо швидке оновлення неможливе, тимчасово вимкніть Kirki до перевірки сумісності.
  2. Перегляньте адміністраторів. Видаліть невідомі акаунти, зменште ролі зайвим користувачам і скиньте паролі для привілейованих облікових записів.
  3. Перевірте листи скидання пароля та журнали вебсервера на повторювані запити, пов’язані з Kirki, особливо коли відоме ім’я користувача поєднане з чужою адресою пошти.
  4. Огляньте нещодавно змінені плагіни, файли теми, mu-plugins і uploads. Шукайте несподівані PHP-файли, обфускований JavaScript, нові редиректи та змінені сторінки входу або оплати.
  5. Змініть облікові дані, доступні адміністратору: паролі WordPress, хостинг-панель, FTP/SFTP, користувачів бази даних, API-токени та ключі інтеграцій.
  6. Перевірте сам сайт і комп’ютери адміністраторів. Вебшел або вставлений скрипт може повторно заразити сайт навіть після оновлення плагіна.

Якщо відвідувачі скаржаться на попередження, редиректи, фальшиві оновлення або завантаження з вашого домену, розглядайте сайт як скомпрометований. Перевірте файли на сервері, проскануйте сайт і за потреби перевіряйте підозрілі URL або файли сервісами Gridinsoft перед поверненням трафіку.

FAQ

Чи вже виправлено Kirki CVE-2026-8206?

Так. Wordfence повідомляє, що повністю виправлена версія Kirki 6.0.7 вийшла 18 травня 2026 року. WordPress.org зараз показує стабільну 6.0.9, тому краще оновитися до найсвіжішої доступної версії.

Чи потрібно міняти паролі після оновлення?

Змініть привілейовані паролі, якщо сайт працював на Kirki 6.0.0-6.0.6, якщо є підозрілі листи скидання пароля або якщо несподівано змінилися адміністратори, плагіни, файли теми чи редиректи.

Чи врятує двофакторна автентифікація?

2FA може зменшити наслідки після зловживання посиланням скидання, але не замінює патч. Спочатку оновіть Kirki, а потім переконайтеся, що 2FA увімкнена для адміністраторів.

Джерела

  1. Wordfence. “Unauthenticated Privilege Escalation Vulnerability Patched in Kirki WordPress Plugin.” Wordfence Blog RSS, опубліковано 2 червня 2026 року, доступ 3 червня 2026 року. https://www.wordfence.com/blog/2026/06/unauthenticated-privilege-escalation-vulnerability-patched-in-kirki-wordpress-plugin/feed/
  2. Tenable. “CVE-2026-8206.” Tenable CVE Database, опубліковано 2 червня 2026 року, доступ 3 червня 2026 року. https://www.tenable.com/cve/CVE-2026-8206
  3. WordPress.org. “Kirki – Freeform Page Builder, Website Builder & Customizer.” WordPress Plugin Directory, доступ 3 червня 2026 року. https://wordpress.org/plugins/kirki/

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.