Critical Kirki flaw exploited to hijack WordPress admin accounts

Exploitation active de la faille critique dans le plugin WordPress Kirki

Une vulnérabilité critique d’escalade de privilèges, activement exploitée par des pirates, affecte le plugin WordPress Kirki (utilisé par plus de 500 000 sites). Cette faille permet à des attaquants non authentifiés de prendre le contrôle de n’importe quel compte, y compris ceux des administrateurs, afin d’installer des logiciels malveillants ou d’accéder à des données sensibles.

Points clés :

• Impact : Environ 40 % de la base d’utilisateurs du plugin (versions 6.0.0 à 6.0.6) est vulnérable.
• Mécanisme : Le plugin expose un point de terminaison de l’API REST (handle_forgot_password) qui accepte une adresse e-mail arbitraire lors d’une réinitialisation de mot de passe. Le lien de réinitialisation est alors envoyé à l’attaquant au lieu du propriétaire légitime du compte.
• Statut : Des centaines de tentatives d’exploitation ont déjà été bloquées par les pare-feu Wordfence.

Vulnérabilité identifiée :

• CVE-2026-8206 : Escalade de privilèges non authentifiée via la fonction handle_forgot_password().

Recommandations :

• Mise à jour immédiate : Passer impérativement à la version 6.0.7 du plugin, qui contient le correctif publié le 18 mai 2026.
• Mesure d’urgence : En cas d’impossibilité de mise à jour, désactiver ou supprimer le plugin Kirki jusqu’à ce que la mise à jour soit effectuée.

Source