Investigadores de seguridad han alertado sobre una vulnerabilidad crítica en el plugin Kirki – Freeform Page Builder, Website Builder & Customizer para WordPress que podría permitir a atacantes no autenticados tomar el control de cuentas privilegiadas, incluidas cuentas de administrador.
La vulnerabilidad, identificada como CVE-2026-8206, ha recibido una puntuación CVSS de 9,8 (Crítica) y afecta a las versiones 6.0.0 a 6.0.6 del plugin. El problema ha sido corregido en la versión 6.0.7, publicada por los desarrolladores.
El fallo reside en el mecanismo de recuperación de contraseñas implementado por el plugin mediante una interfaz REST destinada a la gestión de cuentas desde el frontal de la aplicación.
Según el análisis publicado por los investigadores, el proceso de recuperación de contraseña valida correctamente el nombre de usuario solicitado, pero utiliza una dirección de correo electrónico proporcionada por el propio atacante en lugar de verificar que dicha dirección pertenece realmente a la cuenta afectada.
Como consecuencia, un atacante no autenticado podría solicitar el restablecimiento de contraseña de una cuenta con privilegios elevados y recibir el enlace de recuperación en una dirección de correo bajo su control.
Una vez completado el proceso, el atacante podría establecer una nueva contraseña y obtener acceso legítimo a la cuenta comprometida.
Sistemas afectados
La vulnerabilidad afecta al plugin:
- Kirki – Freeform Page Builder, Website Builder & Customizer
Versiones vulnerables:
- 6.0.0
- 6.0.1
- 6.0.2
- 6.0.3
- 6.0.4
- 6.0.5
- 6.0.6
Versión corregida:
- 6.0.7 o superior
Impacto potencial
La explotación exitosa de la vulnerabilidad podría permitir:
- Compromiso de cuentas administrativas.
- Escalada de privilegios.
- Toma de control completa del sitio web.
- Creación de nuevas cuentas de administrador.
- Instalación de plugins maliciosos.
- Modificación o eliminación de contenido.
- Inserción de código malicioso.
- Distribución de campañas de SEO spam.
- Despliegue de webshells para acceso persistente.
- Utilización del sitio comprometido como plataforma para ataques posteriores.
En entornos corporativos o institucionales, el compromiso de una cuenta administrativa podría facilitar el acceso a información sensible o afectar a la disponibilidad e integridad de los servicios web.
Riesgo operativo
WordPress continúa siendo una de las plataformas de gestión de contenidos más utilizadas a nivel mundial, lo que convierte a sus complementos en un objetivo frecuente para actores maliciosos.
Las vulnerabilidades de toma de control de cuentas administrativas presentan un riesgo especialmente elevado debido a que permiten a los atacantes operar con privilegios legítimos dentro de la plataforma, dificultando la detección temprana de la actividad maliciosa.
La combinación de:
- explotación sin autenticación
- facilidad de abuso
- impacto elevado
- amplia superficie de exposición
incrementa significativamente la criticidad de esta vulnerabilidad.
Medidas recomendadas
Se recomienda a los administradores:
- Actualizar inmediatamente el plugin Kirki a la versión 6.0.7 o superior.
- Verificar la presencia del plugin en todos los sitios WordPress gestionados.
- Revisar las cuentas administrativas existentes.
- Comprobar cambios recientes en contraseñas y usuarios privilegiados.
- Auditar la instalación de nuevos plugins o componentes no autorizados.
- Revisar registros de actividad relacionados con procesos de recuperación de contraseña.
- Aplicar controles adicionales de autenticación multifactor para cuentas administrativas.
- Mantener actualizados WordPress, temas y complementos instalados.
Mapeo MITRE ATT&CK
Posibles técnicas asociadas:
- T1078 – Valid Accounts
- T1098 – Account Manipulation
- T1190 – Exploit Public-Facing Application
- T1505.003 – Web Shell
- T1136 – Create Account
La vulnerabilidad CVE-2026-8206 demuestra nuevamente la importancia de mantener actualizados los complementos utilizados en plataformas WordPress y de supervisar continuamente los mecanismos de autenticación y gestión de cuentas.
Dado que la explotación puede derivar en la toma de control completa del sitio web mediante el compromiso de cuentas privilegiadas, se recomienda aplicar las actualizaciones disponibles con la máxima prioridad y revisar cualquier indicio de actividad anómala en instalaciones potencialmente afectadas.
