WordPress插件Kirki与Burst Statistics漏洞遭主动利用,可致网站被接管
安全研究人员发现,WordPress插件Kirki(版本6.0.0至6.0.6)存在一个严重的权限提升漏洞(CVE-2026-8206,CVSS评分9.8)。攻击者无需登录即可利用该漏洞重置任意用户密码,通过提供一个管理员用户名和攻击者控制的邮箱地址,就能收到密码重置链接,从而完全接管网站。与此同时,Burst Statistics插件(版本3.4.0至3.4.1.1)也被曝出认证绕过漏洞,允许未授权攻击者将权限提升至管理员级别。漏洞源于应用密码验证函数的返回值错误,攻击者可伪造REST API请求,冒充管理员操作,例如创建新的管理员账户。
Defiant安全公司表示,过去24小时内已拦截数千次针对这些漏洞的攻击,并警告可能有数十万网站面临风险。Kirki拥有约50万活跃安装量,其中约15万仍运行在易受攻击的版本上;Burst Statistics则有超过20万活跃安装。
建议用户尽快将Kirki更新到6.0.7或更高版本,将Burst Statistics更新到3.4.2或更高版本,以修复这些已知的安全缺陷。
来源:https://www.securityweek.com/kirki-burst-statistics-wordpress-plugin-flaws-in-attackers-crosshairs/
原文发布时间:2026-06-03
Re: WordPress插件Kirki与Burst Statistics漏洞遭主动利用,可致网站被接管
感谢分享这个重要的安全提醒!这两个插件的漏洞确实相当严重,尤其是Kirki无需登录就能重置管理员密码,简直是灾难级的风险。现在已经有数千次攻击被拦截,说明黑客在积极利用。如果你或者朋友在用这两个插件,最好马上去检查版本并更新到最新版。平时也建议定期关注插件更新,尤其是那些用户量大的插件,往往是攻击的重点目标。Re: WordPress插件Kirki与Burst Statistics漏洞遭主动利用,可致网站被接管
感谢分享这个重要安全提醒。这两个漏洞评分都很高(CVSS 9.8和认证绕过),而且已经有主动攻击,影响面也很广(Kirki约50万安装、Burst Statistics超20万),确实需要尽快升级。建议运行WordPress站点的朋友立刻检查插件版本,尤其是Kirki版本6.0.0-6.0.6和Burst Statistics 3.4.0-3.4.1.1的,赶紧更新到安全版本。同时最好也检查一下是否有异常管理员账户或未授权的密码重置请求。Re: WordPress插件Kirki与Burst Statistics漏洞遭主动利用,可致网站被接管
感谢分享,这个预警非常及时。Kirki和Burst Statistics都是比较常用的插件,尤其是Kirki,很多主题都在用。CVSS 9.8的评分加上已经有主动利用,确实很危险。建议大家赶紧检查一下自己网站上的插件版本,尤其是那15万还没更新的用户,越早更新越安心。修复方法楼主已经写得很清楚了,直接升级到最新版就行。
页:
[1]