CVE-2026-8206 (CVSS 9.8) - The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordP
CVE-2026-8206 (CVSS 9.8) 是WordPress Kirki插件(Freeform Page Builder)6.0.0-6.0.6版本的严重账户接管漏洞。未认证攻击者可利用密码重置功能中的邮箱验证缺失,通过任意邮箱接管任意用户(包括管理员)账户。本文提供完整技术分析、攻击场景、检测及修复指南。
CVE-2026-8206 (CVSS 9.8) - The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordP
📋 漏洞概述
Kirki WordPress插件6.0.0至6.0.6版本存在账户接管漏洞,允许未认证攻击者通过密码重置功能任意重置任意用户密码。
📋 基础信息
| 受影响版本 | Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress 6.0.0 to 6.0.6 |
| 漏洞类型 | 身份验证绕过/权限提升 |
| CVSS | 9.8 · Critical |
| CVE | CVE-2026-8206 |
🔬 漏洞根因
该漏洞是由于插件在处理密码重置请求时,未能正确验证提交的邮箱地址与用户名之间的关联性。当攻击者以用户名(而非邮箱)发起密码重置请求时,插件会接受攻击者提供的任意邮箱地址(而非用户注册时绑定的邮箱),并向该邮箱发送重置链接。这意味着攻击者只需知道目标用户名,即可通过自己控制的邮箱接收重置链接,进而接管账户。设计缺陷在于缺少对“邮箱-用户”绑定关系的强制校验。
🎯 攻击场景
1. 攻击者获取目标WordPress站点中任意有效用户名(如通过公开的投稿人列表、用户枚举或社工获得)。 2. 攻击者访问密码重置页面,输入该用户名,并在邮箱字段填入自己控制的邮箱地址。 3. 插件错误地接受该邮箱,并向攻击者邮箱发送密码重置链接。 4. 攻击者点击链接,将目标账户密码重置为任意值。 5. 攻击者使用新密码登录,完全接管该账户(若目标为管理员,则获得网站完整控制权)。
💥 漏洞影响
攻击者可在无需任何认证的情况下,重置任意用户(包括管理员)的密码,实现账户接管。若攻击者接管管理员账户,可进一步植入后门、篡改网站内容、窃取用户数据或传播恶意软件。该漏洞影响所有使用受影响版本插件的WordPress站点,危害极大,CVSS评分9.8(关键)。
🛡️ 修复建议
立即升级至Kirki插件6.0.7或更高版本(厂商已发布修复补丁)。临时缓解措施:在web应用防火墙(WAF)中拦截所有包含非标准邮箱字段的密码重置请求;或临时禁用密码重置功能(通过修改WordPress核心函数,但需评估业务影响);建议同时启用双重身份验证(2FA)作为深度防御。
📎 参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2026-8206
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-8206
- 原始来源(NVD-Latest)
🚨 威胁评估
| 📈 EPSS 利用概率 | 低 (0.1%) (高于 30.5% 的漏洞) |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 2 个公开 PoC 仓库 |
⚠️ 本文由漏洞情报系统自动生成,仅供安全研究与防御参考。生成时间: 2026-06-04 08:08 | 来源: NVD-Latest
🤖 常见问题解答(FAQ)
❓ 如何检测是否被攻击?
检查用户表中密码被异常重置的账户(可对比最近修改时间);查看日志中是否存在来自非正常IP的密码重置请求,且重置邮箱与注册邮箱不一致的情况。
❓ 如果已中招,应急措施是什么?
立即从数据库手动修改所有管理员密码(通过phpMyAdmin或wp-cli);强制所有用户重新登录并修改密码;卸载或升级Kirki插件;全站扫描恶意文件。
❓ 哪些用户最危险?
任何使用弱用户名(如admin、user等公开用户名)的账户风险最高,但所有用户均受威胁,尤其管理员账户。即使是受保护的订阅者账户也可能被利用进行横向移动。