Investigadores de seguridade alertaron sobre unha vulnerabilidade crítica no complemento Kirki – Freeform Page Builder, Website Builder & Customizer para WordPress que podería permitir a atacantes non autenticados tomar o control de contas privilexiadas, incluídas contas de administrador.
A vulnerabilidade, identificada como CVE-2026-8206, recibiu unha puntuación CVSS de 9,8 (Crítica) e afecta ás versións 6.0.0 a 6.0.6 do complemento. O problema foi corrixido na versión 6.0.7, publicada polos seus desenvolvedores.
O fallo reside no mecanismo de recuperación de contrasinais implementado polo complemento mediante unha interface REST destinada á xestión de contas desde o frontal da aplicación.
Segundo a análise publicada polos investigadores, o proceso de recuperación de contrasinal valida correctamente o nome de usuario solicitado, pero utiliza un enderezo de correo electrónico proporcionado polo propio atacante en lugar de verificar que ese enderezo pertence realmente á conta afectada.
Como consecuencia, un atacante non autenticado podería solicitar o restablecemento do contrasinal dunha conta con privilexios elevados e recibir a ligazón de recuperación nun enderezo de correo baixo o seu control.
Unha vez completado o proceso, o atacante podería establecer un novo contrasinal e obter acceso lexítimo á conta comprometida.
Sistemas afectados
A vulnerabilidade afecta ao complemento:
- Kirki – Freeform Page Builder, Website Builder & Customizer
Versións vulnerables:
- 6.0.0
- 6.0.1
- 6.0.2
- 6.0.3
- 6.0.4
- 6.0.5
- 6.0.6
Versión corrixida:
- 6.0.7 ou superior
Impacto potencial
A explotación exitosa da vulnerabilidade podería permitir:
- Compromiso de contas administrativas.
- Escalada de privilexios.
- Toma de control completa do sitio web.
- Creación de novas contas de administrador.
- Instalación de complementos maliciosos.
- Modificación ou eliminación de contidos.
- Inserción de código malicioso.
- Distribución de campañas de SEO spam.
- Despregamento de webshells para acceso persistente.
- Utilización do sitio comprometido como plataforma para ataques posteriores.
En contornas corporativas ou institucionais, o compromiso dunha conta administrativa podería facilitar o acceso a información sensible ou afectar á dispoñibilidade e integridade dos servizos web.
Risco operativo
WordPress continúa sendo unha das plataformas de xestión de contidos máis utilizadas a nivel mundial, o que converte os seus complementos nun obxectivo frecuente para os actores maliciosos.
As vulnerabilidades que permiten a toma de control de contas administrativas presentan un risco especialmente elevado debido a que permiten aos atacantes operar con privilexios lexítimos dentro da plataforma, dificultando a detección temperá da actividade maliciosa.
A combinación de:
- explotación sen autenticación
- facilidade de abuso
- elevado impacto
- ampla superficie de exposición
incrementa significativamente a criticidade desta vulnerabilidade.
Medidas recomendadas
Recoméndase ás persoas administradoras:
- Actualizar inmediatamente o complemento Kirki á versión 6.0.7 ou superior.
- Verificar a presenza do complemento en todos os sitios WordPress xestionados.
- Revisar as contas administrativas existentes.
- Comprobar cambios recentes en contrasinais e usuarios privilexiados.
- Auditar a instalación de novos complementos ou compoñentes non autorizados.
- Revisar os rexistros de actividade relacionados cos procesos de recuperación de contrasinais.
- Aplicar controis adicionais de autenticación multifactor para as contas administrativas.
- Manter actualizados WordPress, os temas e os complementos instalados.
Mapeo MITRE ATT&CK
Posibles técnicas asociadas:
- T1078 – Valid Accounts
- T1098 – Account Manipulation
- T1190 – Exploit Public-Facing Application
- T1505.003 – Web Shell
- T1136 – Create Account
A vulnerabilidade CVE-2026-8206 demostra novamente a importancia de manter actualizados os complementos utilizados en plataformas WordPress e de supervisar continuamente os mecanismos de autenticación e xestión de contas.
Dado que a explotación pode derivar na toma de control completa do sitio web mediante o compromiso de contas privilexiadas, recoméndase aplicar as actualizacións dispoñibles coa máxima prioridade e revisar calquera indicio de actividade anómala en instalacións potencialmente afectadas.
