Direcția Națională de Securitate Cibernetică – DNSC informează despre o vulnerabilitate severă în plugin-ul WordPress Kirki. CVE-2026-8206 reprezintă o vulnerabilitate critică, cu un scor CVSS de 9.8, de tipul “Escaladare de privilegii pentru preluarea controlului asupra conturilor”, identificată în plugin-ul WordPress Kirki – Freeform Page Builder, Website Builder & Customizer, care afectează versiunile între 6.0.0 și 6.0.6 (inclusiv).
Această vulnerabilitate permite unui potențial actor rău intenționat, neautentificat, să preia controlul asupra conturilor existente prin exploatarea unei deficiențe în mecanismul de resetare a parolei, posibilând compromiterea completă a site-ului în cazul unui cont cu privilegii de administrator.
Controlul asupra conturilor vulnerabile
Datorită impactului major asupra securității și funcționării site-ului, se recomandă actualizarea urgentă la o versiune corectată și verificarea platformei pentru identificarea unor activități suspicioase. 
CVE-2026-8206 reprezintă o vulnerabilitate critică, cu scor CVSS de 9.8, de tipul “Escaladare de privilegii pentru preluarea controlului asupra conturilor”, identificată în plugin-ul WordPress Kirki – Freeform Page Builder, Website Builder & Customizer, care afectează versiuni între 6.0.0 și 6.0.6 (inclusiv).
Această vulnerabilitate permite unui actor rău intenționat, neautentificat, să obțină controlul asupra conturilor existente prin exploatarea unei deficiențe în procesul de resetare a parolei, ceea ce poate duce la compromise completă a site-ului în cazul în care atacul vizează un cont cu privilegii administrative.
În momentul emiterii acestei alerte, vulnerabilitatea este identificată ca fiind activ exploatată la nivel global, motiv pentru care este imperativ să fie tratată cu prioritate maximă.
Efecte și riscuri
Exploatarea cu succes a vulnerabilității poate conduce la:
- conturi WordPress compromise;
- preluarea controlului total asupra conturilor cu privilegii administrative;
- modificarea sau ștergerea conținutului site-ului;
- instalarea de plugin-uri sau teme rău intenționate;
- acces ilegal la date sensibile și setări interne;
- riscul de compromitere integrală a integrității și securității platformei.
În cazul în care contul compromis aparține unui administrator, atacatorul poate obține acces complet asupra întregului site WordPress.
Recomandare oficială:
