
Especialistas de segurança alertam para uma vulnerabilidade grave no popular plugin Kirki para o WordPress, que está a ser ativamente explorada por piratas informáticos. Segundo os dados revelados pela equipa da Wordfence, o problema permite que os atacantes assumam o controlo de qualquer conta no sistema, incluindo as de administradores com permissões máximas, tendo sido bloqueadas mais de 222 tentativas de ataque nas últimas 24 horas.
O funcionamento da vulnerabilidade no sistema
O Kirki é um construtor visual e personalizador avançado de temas bastante popular, encontrando-se ativo em mais de 500 mil plataformas online. A falha, identificada como CVE-2026-8206, foi introduzida na versão 6.0.0 e afeta todas as versões até à 6.0.6. De acordo com as estatísticas de transferência, estas edições vulneráveis são utilizadas por cerca de 40% da base de utilizadores do componente.
O problema central reside na exposição de um ponto de acesso da API REST destinado à recuperação de palavras-passe. Ao processar um pedido de redefinição, a extensão aceita um endereço de correio eletrónico arbitrário. Se um nome de utilizador válido for fornecido, o sistema gera o link de recuperação de conta, mas envia-o diretamente para o email controlado pelo atacante em vez do endereço registado pelo proprietário legítimo.
Consequências e a importância da atualização
Este comportamento torna extremamente simples para atacantes sem qualquer autenticação a geração de links de redefinição para qualquer utilizador registado. Uma vez na posse do acesso com nível de administrador, os cibercriminosos podem instalar extensões maliciosas, alterar todo o conteúdo da página, implementar portas traseiras persistentes no servidor e aceder a bases de dados privadas.
A vulnerabilidade foi descoberta pelo investigador de segurança CHOIGYENGMIN, que reportou a situação a 4 de maio de 2026. A entidade responsável pelo desenvolvimento foi notificada a 16 de maio e disponibilizou a correção de segurança através da versão 6.0.7 a 18 de maio de 2026. Tendo em conta o estado de exploração ativa e os requisitos mínimos necessários para iniciar os ataques, é vital que todos os administradores de plataformas procedam à atualização imediata para a versão mais recente ou desativem a extensão até que o possam fazer.












Nenhum comentário
Seja o primeiro!