⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão explorando uma vulnerabilidade crítica de escalonamento de privilégios (CVE-2026-8206) no plugin Kirki para WordPress para assumir o controle de qualquer conta de usuário, incluindo aquelas pertencentes a administradores.
Os ataques foram detectados pela empresa de segurança WordPress Defiant, cujo firewall Wordfence bloqueou mais de 222 tentativas contra seus clientes nas últimas 24 horas.
O nome completo do plugin é Kirki – Freeform Page Builder, Website Builder & Customizer. É um construtor visual de formato livre e personalizador de tema avançado ativo em mais de 500.000 sites.
Wordfence relata que o problema foi introduzido em uma versão principal recente, versão 6.0.0, e afeta versões de plug-ins até 6.0.6, que são usadas por quase 40% da base de usuários do plug-in, de acordo com estatísticas de download do WordPress.org.
CVE-2026-8206 é causado pela exposição de um endpoint de API REST personalizado para redefinições de senha por meio da função ‘handle_forgot_password()’.
A falha decorre do plugin aceitar um endereço de e-mail arbitrário durante solicitações de redefinição de senha.
Quando um nome de usuário é fornecido, o plug-in gera um link de redefinição de senha válido para a conta associada, mas o envia para o endereço de e-mail fornecido pelo invasor, em vez de para o endereço de e-mail registrado do proprietário da conta.
Esse comportamento torna trivial para invasores não autenticados gerar links de redefinição de senha para qualquer usuário registrado no site para endereços de e-mail sob seu controle, sequestrando-os facilmente.
Depois que um invasor obtém acesso de administrador, ele pode instalar plug-ins maliciosos, modificar o conteúdo do site, implantar web shells ou backdoors persistentes e acessar bancos de dados privados.
A falha foi descoberta pelo pesquisador de segurança CHOIGYENGMIN, que a relatou ao Wordfence em 4 de maio de 2026. A empresa notificou o fornecedor em 16 de maio e lançou uma correção com a versão 6.0.7 em 18 de maio de 2026.
Dado o status de exploração ativa do CVE-2026-8206 e os requisitos muito baixos para lançar ataques, é fundamental que os proprietários/administradores de sites atualizem para a versão 6.0.7 ou desativem o plugin.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
Os ataques foram detectados pela empresa de segurança WordPress Defiant, cujo firewall Wordfence bloqueou mais de 222 tentativas contra seus clientes nas últimas 24 horas.
O nome completo do plugin é Kirki – Freeform Page Builder, Website Builder & Customizer. É um construtor visual de formato livre e personalizador de tema avançado ativo em mais de 500.000 sites.
Wordfence relata que o problema foi introduzido em uma versão principal recente, versão 6.0.0, e afeta versões de plug-ins até 6.0.6, que são usadas por quase 40% da base de usuários do plug-in, de acordo com estatísticas de download do WordPress.org.
CVE-2026-8206 é causado pela exposição de um endpoint de API REST personalizado para redefinições de senha por meio da função ‘handle_forgot_password()’.
A falha decorre do plugin aceitar um endereço de e-mail arbitrário durante solicitações de redefinição de senha.
Quando um nome de usuário é fornecido, o plug-in gera um link de redefinição de senha válido para a conta associada, mas o envia para o endereço de e-mail fornecido pelo invasor, em vez de para o endereço de e-mail registrado do proprietário da conta.
Esse comportamento torna trivial para invasores não autenticados gerar links de redefinição de senha para qualquer usuário registrado no site para endereços de e-mail sob seu controle, sequestrando-os facilmente.
Depois que um invasor obtém acesso de administrador, ele pode instalar plug-ins maliciosos, modificar o conteúdo do site, implantar web shells ou backdoors persistentes e acessar bancos de dados privados.
A falha foi descoberta pelo pesquisador de segurança CHOIGYENGMIN, que a relatou ao Wordfence em 4 de maio de 2026. A empresa notificou o fornecedor em 16 de maio e lançou uma correção com a versão 6.0.7 em 18 de maio de 2026.
Dado o status de exploração ativa do CVE-2026-8206 e os requisitos muito baixos para lançar ataques, é fundamental que os proprietários/administradores de sites atualizem para a versão 6.0.7 ou desativem o plugin.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #falha #crítica #do #kirki #explorada #para #sequestrar #contas #de #administrador #do #wordpress
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário