CVE-2026-12122
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na ujawnienie wrażliwych informacji poprzez funkcję get_single_symbol. Niezautoryzowani atakujący mogą wyodrębnić pełne metadane i wyrenderowany HTML dowolnego posta kirki_symbol, włączając nieopublikowane szkice, poprzez podanie sekwencyjnego ID posta.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży poufnych danych projektowych strony, takich jak nieopublikowane układy i treści, co może prowadzić do wycieku informacji biznesowych lub naruszenia prywatności.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Kirki do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć wtyczkę.
Oryginalny opis (angielski, źródło NVD)
The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 6.0.11 via the get_single_symbol. This makes it possible for unauthenticated attackers to extract the full builder metadata and rendered HTML of any kirki_symbol post — including unpublished drafts — by supplying a sequential WordPress post ID.

