Две популярные ошибки в WordPress-плагинах уже применяются в атаках, приводя к потенциальному контролю над сайтом. Kirki и Burst Statistics позволяли злоумышленникам обходить права администратора и захватывать учетные записи. Установка обновлений — только первый шаг: важно проверить сайт на признаки эксплуатации.
Какие плагины под угрозой#
Kirki версий 6.0.0–6.0.6 содержит CVE-2026-8206: злоумышленник может получить ссылку для сброса пароля администратора. Оценка CVSS 9.8. Ошибка в сбросе пароля позволяет назначить адрес электронной почты и имя привилегированного пользователя, получив контроль над аккаунтом.
Burst Statistics версий 3.4.0–3.4.1.1 позволяет обходить аутентификацию через REST API, временно выполняя действия от имени администратора.
Исправленные версии: Kirki 6.0.7+, Burst Statistics 3.4.2+.
Что такое повышение привилегий#
Это ситуация, когда пользователь или злоумышленник получает права, которых не должно быть. Атака через эти плагины не требовала существующей учетной записи и использовала публичные функции сайта.
Почему реагировать немедленно#
Defiant заблокировала тысячи попыток за 24 часа. Kirki имеет более 500 000 активных установок, из которых 150 000 могли быть уязвимы. Burst Statistics — более 200 000 активных установок.
Риск схож: злоумышленник получает административные возможности в обход стандартного входа.
| Плагин | Уязвимые версии | Тип уязвимости | Практический риск | Исправленная версия |
|---|---|---|---|---|
| Kirki | 6.0.0–6.0.6 | Захват учетной записи | Ссылка для сброса пароля может попасть к злоумышленнику | 6.0.7+ |
| Burst Statistics | 3.4.0–3.4.1.1 | Обход аутентификации | REST API может временно работать от имени администратора | 3.4.2+ |
Дополнительный контекст: https://gigatap.top/en/articles/open-source-security-needs-more-than-code, https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational, https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan
Что проверить с конкретными действиями#
- Обновите Kirki до 6.0.7+ и Burst Statistics до 3.4.2+.
- Проверьте администраторов на новые, переименованные или неизвестные учетные записи.
- Изучите журналы сброса паролей.
- Проанализируйте активность REST API до обновления.
- Проведите аудит изменений плагинов, тем и файлов администраторов за период уязвимости.
- Смените пароли всех привилегированных аккаунтов.
- Убедитесь, что двухфакторная аутентификация включена для администраторов.
- Настройте мониторинг новых админ-учеток и изменений ролей пользователей.
- Проверьте резервные копии до подозрительной активности.
Исправления закрывают известные уязвимости, но последствия возможного взлома нужно проверять отдельно.
Чего не утверждать без доказательств#
Не все сайты с уязвимыми версиями были взломаны. Заблокированная попытка и успешный компромисс — разные вещи.
FAQ#
Это обычное обновление WordPress?#
Нет. Здесь уязвимость затрагивает аутентификацию и права администратора. Обновление — часть реагирования на угрозу.
Полностью ли обновление устраняет риск?#
Удаляет известный уязвимый код, но не убирает созданные до обновления учетные записи, вредоносные плагины или измененные настройки.
Какой плагин обновлять первым?#
Любой сайт с уязвимой версией Kirki или Burst Statistics требует немедленного обновления. Для Kirki CVSS 9.8, для Burst Statistics — обход аутентификации через REST API. Оба требуют приоритетного реагирования.