Hackers estão explorando uma vulnerabilidade crítica de escalação de privilégios no plugin Kirki para WordPress, identificada como CVE-2026-8206. A falha afeta as versões 6.0.0 a 6.0.6 e permite que atacantes não autenticados sequestrem qualquer conta, incluindo administradores, em mais de 500 mil sites que utilizam o plugin.
Como funciona o ataque
A vulnerabilidade reside na função handle_forgot_password(), que expõe um endpoint REST API personalizado para redefinição de senhas. O problema central: o plugin aceita um endereço de e-mail arbitrário durante a solicitação de reset. Um atacante fornece o nome de usuário da vítima e um e-mail sob seu controle. O sistema gera um link de redefinição válido e o envia para o e-mail do atacante, não para o dono legítimo da conta.
Com acesso de administrador, o invasor pode instalar plugins maliciosos, modificar o conteúdo do site, implantar web shells persistentes ou acessar bancos de dados privados com informações de clientes. A pesquisa foi creditada ao pesquisador CHOIGYEONGMIN, que descobriu a falha em 4 de maio de 2026.
Exploração ativa confirmada
A equipe da Wordfence bloqueou mais de 222 tentativas de exploração num período de 24 horas, confirmando que o ataque está em andamento. A correção foi lançada em 18 de maio na versão 6.0.7, mas a divulgação pública só ocorreu em 2 de junho. Segundo a Patchstack, a vulnerabilidade recebeu pontuação CVSS de 9,8 (crítica) e não exige autenticação prévia para ser explorada.
Cerca de 40% dos usuários do plugin ainda operam em versões vulneráveis, o que representa dezenas de milhares de sites expostos a sequestro imediato de contas administrativas.
| Versão afetada | Versão corrigida | CVSS | Status |
|---|---|---|---|
| 6.0.0 a 6.0.6 | 6.0.7 | 9,8 | Exploração ativa |
Impacto em sites WordPress
O Kirki é um framework de customização amplamente utilizado por temas comerciais do WordPress, com mais de 500 mil instalações ativas. Isso significa que muitos administradores podem nem saber que o plugin está presente em seus sites, pois ele é incluído como dependência de temas de terceiros. Vulnerabilidades em plugins populares de WordPress têm sido recorrentemente exploradas para criar contas de administrador e tomar o controle total de sites. Uma postura de segurança robusta exige monitoramento contínuo de alterações em plugins e temas instalados.
Linhas de defesa imediata
Administradores do WordPress que utilizam o Kirki devem seguir três passos essenciais: atualizar o plugin para a versão 6.0.7 ou superior imediatamente; se a atualização não for possível, desativar o plugin até que a correção seja aplicada; e auditar contas de administrador em busca de alterações não autorizadas, novas contas suspeitas ou atividades de login atípicas.
Verifique também os logs de acesso ao servidor em busca de requisições POST para endpoints de redefinição de senha originadas de IPs desconhecidos. A exploração em massa de falhas em plugins é uma tendência crescente e requer respostas rápidas.