WordPress熱門外掛Kirki爆權限提升漏洞，未登入攻擊者可劫持管理員帳號

Kirki是一款用於頁面、網站建置與WordPress自訂器功能強化的外掛。WordPress.org外掛頁面顯示，Kirki活躍安裝數超過50萬。由於該漏洞是在Kirki 6.0主要版本引入，Wordfence在6月1日估計約15萬個網站使用受影響版本。

CVE-2026-8206漏洞出現在Kirki前端帳號管理功能中的忘記密碼流程。該外掛透過自訂REST API端點處理密碼重設請求，相關函式會接收使用者名稱與電子郵件參數。正常情況下，系統應依使用者名稱找到對應帳號，再將重設連結寄到該帳號原本登錄的電子郵件信箱。

但在受影響版本中，要是請求提供使用者名稱，外掛會先找到目標帳號並產生有效的密碼重設金鑰，卻仍將含有重設連結的郵件寄到請求中提供的電子郵件地址。攻擊者因此可指定高權限帳號名稱，同時填入自己控制的信箱，以取得該帳號的密碼重設連結。

攻擊者一旦重設管理員帳號密碼，就可能取得網站後臺控制權。研究人員指出，管理員帳號遭接管後，攻擊者可能修改網站內容、安裝惡意外掛、建立新的管理員帳號，或植入Web shell以維持後續存取。

Wordfence指出，CVE-2026-8206已在Kirki 6.0.7修補。截至6月4日，WordPress.org外掛頁面顯示Kirki最新版為6.0.9，受影響網站應升級至6.0.7或更新版本。