Katalog CVE

CVE-2026-12472

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.49%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Wtyczka Kirki dla WordPressa do wersji 6.0.11 włącznie zawiera podatność na pominięcie autoryzacji. Nieuwierzytelniony atakujący może wysyłać dowolne e-maile z wstrzykniętym kodem HTML, w tym phishingowe z prawdziwym linkiem do resetowania hasła, wykorzystując serwer pocztowy witryny i jego reputację SPF/DKIM.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataków phishingowych na zarejestrowanych użytkowników, co może prowadzić do przejęcia kont i dalszej kompromitacji witryny.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Kirki do najnowszej dostępnej wersji, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.11. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to send arbitrary HTML-injected emails — including phishing messages embedding a real, valid WordPress password-reset URL for the targeted user — to any registered user via the site's own mail server, abusing its SPF/DKIM reputation. The attacker-controlled emailSubject parameter is passed to wp_mail() with only sanitize_text_field() applied, while emailBody 'text' items are concatenated raw into the HTML email body with no escaping, and 'chip' items can include the genuine WordPress password-reset link for the targeted account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS