CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-8206

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

Wtyczka Kirki – Freeform Page Builder, Website Builder & Customizer dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 6.0.0 do 6.0.6. Problem wynika z akceptacji dowolnego adresu e-mail podczas żądania resetowania hasła, co umożliwia nieautoryzowanym atakującym wysyłanie linków do resetowania haseł dla zarejestrowanych użytkowników na ich własne adresy e-mail.

Risk Assessment

Atakujący mogą przejąć konta użytkowników, co prowadzi do utraty danych i naruszenia prywatności. To stwarza poważne zagrożenie dla bezpieczeństwa całej witryny oraz jej użytkowników.

Recommendation

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie liczby prób resetowania hasła.

Original NVD description (English source)

The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to privilege escalation via account takeover in all versions 6.0.0 to 6.0.6. This is due to the plugin accepting an arbitrary email address when a username is used in the password reset request. This makes it possible for unauthenticated attackers to send a password reset link for any user registered on the site to their own email address.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS