B
今週中
WordPressプラグインのKirkiおよびBurst Statisticsに、権限昇格や認証バイパスが可能な深刻な脆弱性
📌 一言でいうと
WordPressプラグインのKirkiおよびBurst Statisticsに、権限昇格や認証バイパスが可能な深刻な脆弱性が発見されました。Kirkiの脆弱性(CVE-2026-8206)はパスワードリセットプロセスを悪用してアカウントを乗っ取ることができ、Burst Statisticsの脆弱性は管理者権限への昇格を許します。攻撃者はすでにこれらの脆弱性を悪用してウェブサイトの制御権を奪取しており、早急なアップデートが推奨されています。
🔍該当判定
- WordPressでプラグイン「Kirki」のバージョン 6.0.0 〜 6.0.6 を利用している
- WordPressでプラグイン「Burst Statistics」のバージョン 3.4.0 〜 3.4.1.1 を利用している
- 自社サイトのWordPress管理画面で、上記2つのプラグインがインストールされており、更新が止まっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
KirkiおよびBurst Statisticsプラグインを最新バージョンにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WordPressプラグイン Kirki および Burst Statistics の脆弱性対応について
お疲れさまです。WordPressプラグインの脆弱性に関する情報共有です。
■ 概要
KirkiおよびBurst Statisticsプラグインにおいて、認証バイパスおよび権限昇格の脆弱性が確認されました。特にKirkiのCVE-2026-8206はCVSS 9.8と極めて高く、未認証の攻撃者がサイト制御権を奪取する可能性があります。既に野外での攻撃が観測されています。
■ 影響範囲
- Kirki: バージョン 6.0.0 ~ 6.0.6
- Burst Statistics: バージョン 3.4.0 ~ 3.4.1.1
■ 対応手順
1. 自社管理サイトで上記プラグインが使用されているか確認してください。
2. 該当バージョンを使用している場合は、直ちに最新バージョンへアップデートを適用してください。
■ 参考情報
- Defiant (Wordfence) アドバイザリ
対応優先度: 高
対応期限: 至急
お疲れさまです。WordPressプラグインの脆弱性に関する情報共有です。
■ 概要
KirkiおよびBurst Statisticsプラグインにおいて、認証バイパスおよび権限昇格の脆弱性が確認されました。特にKirkiのCVE-2026-8206はCVSS 9.8と極めて高く、未認証の攻撃者がサイト制御権を奪取する可能性があります。既に野外での攻撃が観測されています。
■ 影響範囲
- Kirki: バージョン 6.0.0 ~ 6.0.6
- Burst Statistics: バージョン 3.4.0 ~ 3.4.1.1
■ 対応手順
1. 自社管理サイトで上記プラグインが使用されているか確認してください。
2. 該当バージョンを使用している場合は、直ちに最新バージョンへアップデートを適用してください。
■ 参考情報
- Defiant (Wordfence) アドバイザリ
対応優先度: 高
対応期限: 至急
Subject: [Urgent] Vulnerability Update for WordPress Plugins Kirki and Burst Statistics
Dear IT Administration Team,
We are sharing critical security information regarding vulnerabilities in the Kirki and Burst Statistics WordPress plugins.
■ Overview
Critical vulnerabilities allowing authentication bypass and privilege escalation have been identified. Specifically, CVE-2026-8206 in Kirki (CVSS 9.8) allows unauthenticated attackers to hijack accounts via the password reset process. Active exploitation in the wild has been reported.
■ Affected Versions
- Kirki: Versions 6.0.0 to 6.0.6
- Burst Statistics: Versions 3.4.0 to 3.4.1.1
■ Action Required
1. Audit all managed WordPress sites for the presence of these plugins.
2. Immediately update the plugins to the latest secure versions if vulnerable versions are found.
■ Reference
- Defiant (Wordfence) Advisory
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing critical security information regarding vulnerabilities in the Kirki and Burst Statistics WordPress plugins.
■ Overview
Critical vulnerabilities allowing authentication bypass and privilege escalation have been identified. Specifically, CVE-2026-8206 in Kirki (CVSS 9.8) allows unauthenticated attackers to hijack accounts via the password reset process. Active exploitation in the wild has been reported.
■ Affected Versions
- Kirki: Versions 6.0.0 to 6.0.6
- Burst Statistics: Versions 3.4.0 to 3.4.1.1
■ Action Required
1. Audit all managed WordPress sites for the presence of these plugins.
2. Immediately update the plugins to the latest secure versions if vulnerable versions are found.
■ Reference
- Defiant (Wordfence) Advisory
Priority: High
Deadline: Immediate