Katalog CVE

CVE-2026-8206

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Kirki – Freeform Page Builder, Website Builder & Customizer dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 6.0.0 do 6.0.6. Problem wynika z akceptacji dowolnego adresu e-mail podczas żądania resetowania hasła, co umożliwia nieautoryzowanym atakującym wysyłanie linków do resetowania haseł dla zarejestrowanych użytkowników na ich własne adresy e-mail.

Ocena ryzyka

Atakujący mogą przejąć konta użytkowników, co prowadzi do utraty danych i naruszenia prywatności. To stwarza poważne zagrożenie dla bezpieczeństwa całej witryny oraz jej użytkowników.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie liczby prób resetowania hasła.

Oryginalny opis (angielski, źródło NVD)

The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions 6.0.0 to 6.0.6. This is due to the plugin accepting an arbitrary email address when a username is used in the password reset request. This makes it possible for unauthenticated attackers to send a password reset link for any user registered on the site to their own email address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS