В начале мая 2026 года исследователь безопасности CHOIGYEONGMIN обнаружил опасную уязвимость в популярном плагине Kirki - Freeform Page Builder, Website Builder & Customizer. Этот инструмент используют более 500 тысяч сайтов на WordPress. Проблема получила идентификатор CVE-2026-8206 и максимальную оценку 9,8 по шкале CVSS. Речь идёт о возможности неаутентифицированного повышения привилегий: злоумышленник, не имеющий доступа к сайту, может полностью захватить любую учётную запись, включая администраторскую.
Уязвимость затрагивает версии плагина с 6.0.0 по 6.0.6. По оценкам экспертов, уязвимыми остаются около 150 тысяч сайтов - именно столько установок до сих пор не обновились до защищённой версии. Дело в том, что дефект был внедрён в крупном обновлении 6.0, которое вышло незадолго до обнаружения атаки. Разработчики из Themeum оперативно отреагировали: уже 18 мая 2026 года они выпустили патч - версию 6.0.7, которая полностью устраняет уязвимость.
Как работает атака
Kirki предоставляет функционал для управления аккаунтами на стороне клиента, включая сброс пароля через собственный REST API (программный интерфейс, позволяющий внешним запросам взаимодействовать с данными сайта). В коде плагина есть функция handle_forgot_password(), которая обрабатывает запросы на восстановление доступа. Она принимает два параметра: имя пользователя (username) и адрес электронной почты (email).
Логика разработчиков предполагала, что пользователь вводит либо логин, либо почту, после чего система находит соответствующую учётную запись и отправляет ссылку для сброса пароля на адрес, привязанный к этому аккаунту. Однако в реализации была допущена критическая ошибка. Когда в запросе передаётся имя пользователя, плагин действительно находит нужный аккаунт - но после этого использует не email из базы данных, а тот, который указан в параметрах запроса. Иными словами, атакующий может указать чужой логин администратора, а в поле email вписать свой собственный почтовый ящик. В результате ссылка для восстановления пароля уходит злоумышленнику, а не владельцу аккаунта.
Получив ссылку, нападающий устанавливает новый пароль для учётной записи администратора и получает полный контроль над сайтом. Дальнейшие последствия очевидны: злоумышленник может установить вредоносные плагины, создать новых пользователей с правами администратора, изменить содержимое страниц или загрузить веб-шеллы - специальные скрипты для удалённого управления сервером. Таким образом, сайт оказывается полностью скомпрометированным.
Почему уязвимость так опасна
Важно подчеркнуть, что для эксплуатации не требуется никаких предварительных условий. Атакующему достаточно знать имя пользователя с высокими привилегиями - например, admin. Имена администраторов часто можно узнать через стандартные WordPress-функции или просто подобрать. Даже если сайт использует двухфакторную аутентификацию, она, как правило, работает только после входа в систему, а здесь атака происходит на этапе сброса пароля - до самого входа. Поэтому защита может быть обойдена.
По шкале CVSS уязвимость получила 9,8 из 10. Это один из самых высоких показателей, который указывает на простоту эксплуатации, удалённый вектор атаки и критическое влияние на конфиденциальность, целостность и доступность данных. Эксперты Wordfence - компании, разрабатывающей одноимённый межсетевой экран для WordPress - назвали уязвимость "критической" и выплатили исследователю вознаграждение в размере 6436 долларов в рамках программы bug bounty (инициативы по поиску и ответственному раскрытию уязвимостей).
Реакция сообщества
Разработчики плагина Themeum признали проблему уже на следующий день после получения полного отчёта от Wordfence - 16 мая 2026 года. Спустя всего два дня они выпустили исправленную версию 6.0.7. Такая оперативность заслуживает похвалы, особенно учитывая масштаб уязвимости. Пользователям настоятельно рекомендуется обновиться как можно скорее, поскольку даже после выхода патча остаётся множество сайтов, которые ещё не применили обновление.
Как защититься
Прежде всего необходимо обновить плагин Kirki до версии 6.0.7. Сделать это можно прямо из панели управления WordPress: Плагины - Установленные - Найти Kirki - Нажать "Обновить". Если автоматическое обновление не включено, стоит включить его для всех плагинов и тем. Также рекомендуется временно отключить любые функции сброса пароля через сторонние REST API, если они не используются, или ограничить доступ к соответствующим маршрутам с помощью правил файрвола.
Владельцам сайтов, которые уже используют Wordfence, важно убедиться, что база правил обновлена. Для бесплатных пользователей это произойдёт автоматически, но можно ускорить процесс, переключившись на платный тариф или применив патч вручную через инструмент блокировки запросов.
Выводы
Данный инцидент - очередное напоминание о том, что даже популярные и казалось бы надёжные плагины могут содержать опасные ошибки. Уязвимость в Kirki позволяет атакующему без каких-либо усилий захватить полный контроль над сайтом, а значит, её нельзя игнорировать. Все администраторы WordPress должны проверить версию установленного плагина и при необходимости немедленно обновиться. Особое внимание стоит уделить сайтам, которые используют Kirki для управления пользователями: здесь риск особенно высок.
Ответственное раскрытие через программу bug bounty и своевременный выпуск патча со стороны разработчика показывают, что экосистема WordPress способна быстро реагировать на угрозы. Но финальная ответственность всегда лежит на владельце сайта. Обновление плагинов - это не опция, а обязательная мера безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-8206
- https://www.wordfence.com/threat-intel/vulnerabilities/id/3b5630bd-5bce-4226-959f-5e81ae69b799?source=cve
