Kritična ranljivost v Kirki vtičniku ogroža WordPress skrbniške račune

Varnostni raziskovalci opozarjajo na intenzivno izkoriščanje kritične varnostne ranljivosti v priljubljenem WordPress vtičniku Kirki. Napadalci prek ranljivosti CVE-2026-8206 pridobivajo popoln nadzor nad skrbniškimi računi, kar jim omogoča celovit vdor v spletne sisteme.

Kirki je eden izmed najbolj razširjenih vtičnikov za prilagajanje WordPress tem, ki ga uporablja več kot 100.000 aktivnih inštalacij. Ranljivost omogoča nepooblaščeno eskalacijo privilegijev, kar napadalcem omogoča prevzem katerega koli uporabniškega računa, vključno z administratorskimi.

Varnostni strokovnjaci so potrdili, da so napadi že v teku in se izvajajo avtomatizirano. Hekerji izkoriščajo napako v mehanizmu avtentikacije vtičnika, ki ne preverja ustrezno uporabniških pravic pri določenih API klicih. Po uspešnem izkoriščanju lahko napadalci spremenijo gesla, ustvarijo nove skrbniške račune ali namestijo zlonamerno programsko opremo.

Kritičnost ranljivosti je ocenjena z najvišjo stopnjo, saj ne zahteva nobene predhodne avtentikacije. Napad je mogoče izvesti z enim samim HTTP zahtevkom, kar ga naredi izjemno privlačnega za množične kampanje.

Razvijalci vtičnika so sicer že izdali varnostno posodobitev, vendar podatki kažejo, da je bila implementirana v zgolj 23 odstotkih inštalacij. To pomeni, da je še vedno več kot 75.000 WordPress spletišč neposredno izpostavljenih aktivnim napadom.

Strokovnjaki za kibernetsko varnost priporočajo takojšnje ukrepanje. Administratorji WordPress sistemov morajo nemudoma posodobiti Kirki vtičnik na najnovejšo različico. Če takojšnja posodobitev ni mogoča, je potrebno vtičnik začasno deaktivirati do izvedbe varnostne nadgradnje.

Dodatno se priporoča pregled vseh uporabniških računov, še posebej tistih s skrbniškimi pravicami, analiza dnevniških datotek za zaznavanjе sumljivih aktivnosti ter implementacija dvofaktorske avtentikacije kot dodatne varnostne plasti.


Vir: https://www.bleepingcomputer.com/news/security/critical-kirki-flaw-exploited-to-hijack-wordpress-admin-accounts/
Originalna objava: 2026-06-02
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply