Una singola richiesta HTTP è tutto ciò che serve a un attaccante per prendere il controllo completo di un sito WordPress che utilizza il plugin Kirki - Freeform Page Builder, Website Builder & Customizer, sviluppato da Themeum. La vulnerabilità, tracciata come CVE-2026-8206 con un punteggio CVSS di 9.8 su 10, consente un'escalation di privilegi senza autenticazione: chiunque su Internet può impossessarsi dell'account amministratore di un sito vulnerabile senza conoscerne la password. Il plugin conta oltre 500.000 installazioni attive, e le stime sui siti che eseguono ancora una versione vulnerabile oscillano tra 150.000 e 200.000. Gli attacchi sono già in corso. [continua..]
---
Cosa ne pensi? Lascia il tuo commento qui sotto.