WordPress Kirkiプラグインの重大な脆弱性、管理者アカウント乗っ取りに悪用
WordPress Kirkiプラグインの重大な脆弱性、管理者アカウント乗っ取りに悪用
| 項目 | 内容 |
|---|---|
| ジャンル | セキュリティ |
| 日付 | 2026-06-02 |
| 元記事 | Bleeping Computer |
要約
50万以上のWordPressサイトで使用されているページビルダープラグイン「Kirki」にCVE-2026-8206として追跡される重大な特権昇格の脆弱性が発見され、積極的に悪用されている。バージョン6.0.0〜6.0.6に影響し、パスワードリセット機能のカスタムREST APIエンドポイントを悪用することで、攻撃者は任意ユーザーのアカウントを乗っ取れる。Wordfenceは過去24時間で222件以上の攻撃を検出しており、管理者権限奪取後は悪意あるプラグインの設置やWebシェル展開、データベース侵害などの深刻な被害が懸念される。バージョン6.0.7以上への即時アップグレードが必要。