Sebuah kerentanan eskalasi hak istimewa yang sangat kritis (CVE-2026-8206) pada plugin Kirki untuk WordPress kini tengah dieksploitasi oleh para peretas. Celah keamanan ini memungkinkan pelaku untuk mengambil alih akun pengguna mana pun, termasuk akun administrator, yang berpotensi menimbulkan dampak serius bagi situs web yang terpengaruh.
Baca Juga: Microsoft Hadirkan Perintah Linux ke Windows Melalui Proyek Coreutils
Dilansir dari BleepingComputer, serangan ini pertama kali terdeteksi oleh firma keamanan WordPress Defiant. Sistem firewall Wordfence milik Defiant telah berhasil memblokir lebih dari 222 upaya serangan terhadap pelanggannya dalam kurun waktu 24 jam terakhir. Plugin yang dimaksud adalah Kirki – Freeform Page Builder, Website Builder & Customizer, sebuah alat visual builder dan kustomisasi tema canggih yang aktif digunakan di lebih dari 500.000 situs web.
Wordfence melaporkan bahwa masalah keamanan ini muncul pada rilis utama terbaru, yaitu versi 6.0. 0, dan memengaruhi versi plugin hingga 6.0.
Baca Juga: Celah Zero-Day VS Code Ancam Token GitHub, Bisa Dicuri dengan Satu Klik
6. Menurut statistik unduhan dari WordPress.org, versi-versi ini digunakan oleh hampir 40% dari total pengguna plugin Kirki.
Kerentanan CVE-2026-8206 disebabkan oleh terbukanya endpoint REST API kustom untuk pengaturan ulang kata sandi melalui fungsi ‘handle_forgot_password()’.
Celah ini memungkinkan plugin menerima alamat email sembarang selama permintaan pengaturan ulang kata sandi. Ketika nama pengguna disediakan, plugin akan membuat tautan pengaturan ulang kata sandi yang valid untuk akun terkait.
Namun, alih-alih mengirimkannya ke alamat email yang terdaftar milik pemilik akun, tautan tersebut justru dikirimkan ke alamat email yang disediakan oleh penyerang.
Perilaku ini membuat peretas yang tidak terautentikasi dapat dengan mudah membuat tautan pengaturan ulang kata sandi untuk setiap pengguna yang terdaftar di situs, dan mengirimkannya ke alamat email yang mereka kontrol. Dengan demikian, pembajakan akun dapat dilakukan dengan sangat mudah.
Setelah peretas mendapatkan akses tingkat administrator, mereka dapat menginstal plugin berbahaya, memodifikasi konten situs web, menyebarkan web shell atau backdoor persisten, hingga mengakses database pribadi.
Kerentanan ini pertama kali ditemukan oleh peneliti keamanan CHOIGYENGMIN, yang melaporkannya kepada Wordfence pada 4 Mei 2026. Perusahaan tersebut kemudian memberi tahu vendor pada 16 Mei, dan perbaikan dirilis melalui versi 6.0.
7 pada 18 Mei 2026. Mengingat status eksploitasi aktif dari CVE-2026-8206 dan persyaratan yang sangat rendah untuk melancarkan serangan, sangat penting bagi pemilik atau administrator situs web untuk segera meningkatkan plugin Kirki mereka ke versi 6.0.
Baca Juga: 71 Aplikasi dan Mini Program di China Terbukti Langgar Aturan Privasi Data Pengguna
7 atau menonaktifkan plugin tersebut untuk mencegah potensi serangan.
Leave a Comment