Опасные уязвимости в WordPress-плагинах: срочно обновляйте

Kirki и Burst Statistics используют уязвимости, позволяющие захватить админ-аккаунты. После обновления проверьте учетные записи и настройки администратора.

2026-06-03 GIGATAP Team #security
#WordPress security#security advisory#CVE

Две популярные ошибки в WordPress-плагинах уже применяются в атаках, приводя к потенциальному контролю над сайтом. Kirki и Burst Statistics позволяли злоумышленникам обходить права администратора и захватывать учетные записи. Установка обновлений — только первый шаг: важно проверить сайт на признаки эксплуатации.

Какие плагины под угрозой#

Kirki версий 6.0.0–6.0.6 содержит CVE-2026-8206: злоумышленник может получить ссылку для сброса пароля администратора. Оценка CVSS 9.8. Ошибка в сбросе пароля позволяет назначить адрес электронной почты и имя привилегированного пользователя, получив контроль над аккаунтом.

Burst Statistics версий 3.4.0–3.4.1.1 позволяет обходить аутентификацию через REST API, временно выполняя действия от имени администратора.

Исправленные версии: Kirki 6.0.7+, Burst Statistics 3.4.2+.

Что такое повышение привилегий#

Это ситуация, когда пользователь или злоумышленник получает права, которых не должно быть. Атака через эти плагины не требовала существующей учетной записи и использовала публичные функции сайта.

Почему реагировать немедленно#

Defiant заблокировала тысячи попыток за 24 часа. Kirki имеет более 500 000 активных установок, из которых 150 000 могли быть уязвимы. Burst Statistics — более 200 000 активных установок.

Риск схож: злоумышленник получает административные возможности в обход стандартного входа.

Плагин Уязвимые версии Тип уязвимости Практический риск Исправленная версия
Kirki 6.0.0–6.0.6 Захват учетной записи Ссылка для сброса пароля может попасть к злоумышленнику 6.0.7+
Burst Statistics 3.4.0–3.4.1.1 Обход аутентификации REST API может временно работать от имени администратора 3.4.2+

Дополнительный контекст: https://gigatap.top/en/articles/open-source-security-needs-more-than-code, https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational, https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan

Что проверить с конкретными действиями#

  • Обновите Kirki до 6.0.7+ и Burst Statistics до 3.4.2+.
  • Проверьте администраторов на новые, переименованные или неизвестные учетные записи.
  • Изучите журналы сброса паролей.
  • Проанализируйте активность REST API до обновления.
  • Проведите аудит изменений плагинов, тем и файлов администраторов за период уязвимости.
  • Смените пароли всех привилегированных аккаунтов.
  • Убедитесь, что двухфакторная аутентификация включена для администраторов.
  • Настройте мониторинг новых админ-учеток и изменений ролей пользователей.
  • Проверьте резервные копии до подозрительной активности.

Исправления закрывают известные уязвимости, но последствия возможного взлома нужно проверять отдельно.

Чего не утверждать без доказательств#

Не все сайты с уязвимыми версиями были взломаны. Заблокированная попытка и успешный компромисс — разные вещи.

FAQ#

Это обычное обновление WordPress?#

Нет. Здесь уязвимость затрагивает аутентификацию и права администратора. Обновление — часть реагирования на угрозу.

Полностью ли обновление устраняет риск?#

Удаляет известный уязвимый код, но не убирает созданные до обновления учетные записи, вредоносные плагины или измененные настройки.

Какой плагин обновлять первым?#

Любой сайт с уязвимой версией Kirki или Burst Statistics требует немедленного обновления. Для Kirki CVSS 9.8, для Burst Statistics — обход аутентификации через REST API. Оба требуют приоритетного реагирования.