CVE-2026-8206

Nome do Software Vulnerável e Versões Afetadas Kirki versões 6.0.0 a 6.0.6

Description O plugin Kirki – Freeform Page Builder, Website Builder & Customizer para WordPress contém uma falha que permite a escalada de privilégios não autenticada e a invasão de contas. O problema ocorre porque o plugin aceita um endereço de e-mail arbitrário quando um nome de usuário é fornecido em uma solicitação de redefinição de senha, permitindo que invasores enviem um link de redefinição de senha de qualquer usuário registrado, incluindo administradores, para um endereço de e-mail sob seu controle. Isso é realizado através da função handle forgot password() no endpoint de esqueci a senha. Estima-se que aproximadamente 150.000 sites estejam expostos, e o problema está sendo explorado ativamente.

Recommendations Atualize para a versão 6.0.7 ou posterior.