Falla critica in Kirki mette in pericolo 500.000 siti WordPress (aggiornato: 4 giugno 2026, ore 08:19)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 04/06/2026, 08:19
- Pubblicato: 04/06/2026, 10:29
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Una singola richiesta HTTP è tutto ciò che serve a un attaccante per prendere il controllo completo di un sito WordPress che utilizza il plugin Kirki - Freeform Page Builder, Website Builder & Customizer, sviluppato da Themeum. La vulnerabilità, tracciata come CVE-2026-8206 con un punteggio CVSS di 9.8 su 10, consente un'escalation di privilegi senza autenticazione: chiunque su Internet può impossessarsi dell'account amministratore di un sito vulnerabile senza conoscerne la password. Il plugin conta oltre 500.000 installazioni attive, e le stime sui siti che eseguono ancora una versione vulnerabile oscillano tra 150.000 e 200.000. Gli attacchi sono già in corso.
Il meccanismo: una funzione di reset password rotta alla radice
Il problema sta nella funzione handle_forgot_password() della classe CompLibFormHandler, esposta tramite un endpoint REST API personalizzato del plugin. Il flusso corretto di un reset password è banale da descrivere: l'utente fornisce il proprio nome utente, il sistema genera un link di reimpostazione e lo invia all'indirizzo email associato a quell'account nel database di WordPress. Kirki, nelle versioni dalla 6.0.0 alla 6.0.6, fa qualcosa di diverso - e di catastrofico.
La funzione accetta un indirizzo email arbitrario fornito dall'attaccante nella stessa richiesta. Il plugin risolve correttamente il nome utente, individua l'account reale nel database, genera un link di reimpostazione password perfettamente valido… e poi lo invia all'email specificata dall'attaccante, anziché a quella registrata dall'utente legittimo. Classificata come CWE-269 (gestione impropria dei privilegi), la vulnerabilità è di una semplicità quasi imbarazzante.
Il vettore di attacco completo, secondo il breakdown CVSS v3.1, è un incubo: accesso via rete (AV:N), complessità bassa (AC:L), nessun privilegio richiesto (PR:N), nessuna interazione dell'utente (UI:N), impatto alto su riservatezza, integrità e disponibilità. L'unico prerequisito è conoscere un nome utente WordPress valido - e ottenerlo non è affatto difficile. Le tecniche di enumerazione degli utenti WordPress sono ben documentate: archivi autore, REST API nativa, persino i messaggi di errore nella pagina di login possono rivelare nomi utente validi.
Tre passaggi per il controllo totale
L'attacco è brutalmente lineare. L'attaccante invia una richiesta di reset password specificando un nome utente noto - ad esempio «admin» - e il proprio indirizzo email. Il plugin genera il link di reimpostazione e lo recapita diligentemente nella casella di posta dell'attaccante. A quel punto basta cliccare il link, impostare una nuova password: accesso completo all'account, inclusi quelli con privilegi di amministratore.
Una volta dentro, le possibilità di danno sono vaste. Plugin malevoli, utenti amministratori aggiuntivi per garantirsi accesso persistente, spam SEO, contenuti modificati, web shell per mantenere un punto d'appoggio anche dopo una bonifica, accesso ai database. Il compromesso di un account amministratore equivale alla perdita totale del sito.
La vulnerabilità è nata con la versione 6.0.0
Le versioni di Kirki precedenti alla 6.0.0 non sono affette. Il difetto è stato introdotto con quella che viene descritta come una major release recente, il che indica che la funzionalità di reset password tramite endpoint REST è un'aggiunta relativamente nuova al plugin - e che evidentemente non ha ricevuto una revisione di sicurezza adeguata prima del rilascio. Un dettaglio che dovrebbe far riflettere chiunque gestisca un ecosistema di plugin con centinaia di migliaia di installazioni attive.
Scoperta, divulgazione e la corsa alla patch
La cronologia della divulgazione è serrata. Il ricercatore CHOIGYEONGMIN ha segnalato la vulnerabilità al programma di bug bounty di Wordfence il 4 maggio 2026. Wordfence ha validato il rapporto e il proof of concept entro l'8 maggio, distribuendo il giorno successivo una regola firewall per i clienti Premium, Care e Response. Il 16 maggio Wordfence ha notificato Themeum, che ha rilasciato la versione corretta 6.0.7 il 18 maggio. Patchstack ha pubblicato il proprio avviso il 1° giugno; la divulgazione pubblica completa è avvenuta il 2 giugno.
C'è però un dettaglio scomodo: gli utenti del piano gratuito di Wordfence riceveranno la protezione firewall solo l'8 giugno 2026 - un mese esatto dopo i clienti paganti. Una finestra temporale significativa, con lo sfruttamento attivo già in atto. Il ricercatore ha ricevuto una ricompensa di 6.436 dollari tramite il programma bug bounty di Wordfence.
Sfruttamento attivo: i numeri parlano
Al 2 giugno, un'analisi di threat-modeling.com non aveva ancora rilevato sfruttamento su larga scala confermato pubblicamente. I dati più recenti di BleepingComputer raccontano però una storia diversa: Wordfence/Defiant ha bloccato oltre 222 tentativi di exploit contro i propri clienti in un arco di 24 ore. La discrepanza si spiega con la cronologia - gli attacchi sono probabilmente escalati dopo la pubblicazione dell'advisory del 2 giugno, che ha reso i dettagli tecnici disponibili a chiunque.
Patchstack ha descritto la vulnerabilità come «altamente pericolosa e destinata a essere sfruttata», avvertendo del potenziale utilizzo in «campagne di exploit di massa». Con 150.000-200.000 siti ancora esposti, lo scenario non è ipotetico.
Cosa fare adesso
La priorità è una sola: aggiornare Kirki alla versione 6.0.7 o successiva. Chi non può farlo immediatamente dovrebbe disattivare il plugin e contattare il proprio provider di hosting o lo sviluppatore web di riferimento. L'aggiornamento da solo, tuttavia, potrebbe non bastare se il sito è già stato compromesso.
Gli amministratori dovrebbero verificare la lista degli account con privilegi elevati, cercando utenti sconosciuti o creati di recente, ed esaminare i log del server alla ricerca di attività sospette di reset password dirette verso l'endpoint REST del plugin. Qualsiasi anomalia giustifica un'indagine approfondita e, potenzialmente, un ripristino da backup verificato.
I clienti Patchstack possono attivare l'aggiornamento automatico per i plugin vulnerabili; una regola di mitigazione specifica è già disponibile. Gli utenti Wordfence con piani a pagamento sono protetti dal 9 maggio. Per tutti gli altri - e sono la maggioranza - il tempo stringe. Un punteggio CVSS di 9.8 non lascia margine per la procrastinazione.
![[Upd: patch disponibile] MiniPlasma è il nuovo exploit per Windows 11 che sfrutta una vulnerabilità... corretta nel 2020?!? (aggiornato: 12 giugno 2026, ore 09:52)](https://turbolab.it/immagini/reg/6/windows-11-security-flaw-zero-day-threat-2-27599.avif)
![[Upd: patch disponibile] Rilasciati due nuovi zero-day per Windows: YellowKey bypassa BitLocker, GreenPlasma scala a SYSTEM - il codice degli exploit è disponibile pubblicamente (aggiornato: 10 giugno 2026, ore 07:17)](https://turbolab.it/immagini/reg/6/windows-key-system-exploit-27549.avif)
