🔥 この記事の詳細
2026-06-03 更新
B
今週中

WordPressプラグイン「Kirki - Freeform Page Builder, Website Builder & Customizer」に…

脆弱性🌐 英語ソース📰 3記事🌐 2 countries
🇺🇸 US (2) · 🇹🇼 Taiwan
🖥️ 製品WordPress
🔢 CVECVE-2026-8206
📅 2026-06-03📰 bleeping
📌 一言でいうと
WordPressプラグイン「Kirki - Freeform Page Builder, Website Builder & Customizer」に、特権昇格の脆弱性(CVE-2026-8206)が発見されました。攻撃者はパスワードリセット機能の不備を悪用して、管理者を含む任意のユーザーアカウントを乗っ取ることが可能です。この脆弱性はバージョン6.0.0から6.0.6に影響し、既に実環境での攻撃が観測されています。
🔍該当判定
  • 自社サイトでWordPressを利用している
  • WordPressのプラグイン「Kirki - Freeform Page Builder, Website Builder & Customizer」をインストールしている
  • 利用しているKirkiプラグインのバージョンが 6.0.0 から 6.0.6 の間である
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるバージョンのKirkiプラグインを直ちに最新バージョンへアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WordPressプラグイン Kirki (CVE-2026-8206) 対応について

お疲れさまです。Kirkiプラグインの脆弱性に関する情報共有です。

■ 概要
WordPressプラグイン「Kirki」において、パスワードリセット機能の不備による特権昇格の脆弱性(CVE-2026-8206)が報告されました。攻撃者が任意のメールアドレスを使用してパスワードリセットを要求でき、管理者権限を含むアカウントの乗っ取りが可能です。既に攻撃が観測されています。

■ 影響範囲
- 対象製品: Kirki - Freeform Page Builder, Website Builder & Customizer
- 対象バージョン: 6.0.0 ~ 6.0.6

■ 対応手順
1. 自社管理サイトで当該プラグインの利用有無およびバージョンを確認してください。
2. 影響を受けるバージョンを利用している場合は、直ちに最新バージョンへアップデートを適用してください。

■ 参考情報
- Wordfence / Defiant セキュリティレポート

対応優先度: 高
対応期限: 本日中
Subject: [Security Advisory] Kirki WordPress Plugin Vulnerability (CVE-2026-8206)

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability in the Kirki WordPress plugin.

■ Overview
A privilege escalation vulnerability (CVE-2026-8206) has been identified in the 'Kirki - Freeform Page Builder, Website Builder & Customizer' plugin. The flaw allows attackers to hijack any user account, including administrators, by exploiting the password reset mechanism. Active exploitation has been detected in the wild.

■ Scope
- Product: Kirki - Freeform Page Builder, Website Builder & Customizer
- Affected Versions: 6.0.0 through 6.0.6

■ Action Required
1. Verify if the Kirki plugin is installed and check the current version across all managed WordPress sites.
2. Immediately update the plugin to the latest patched version if an affected version is in use.

■ Reference
- Wordfence / Defiant Security Reports

Priority: High
Deadline: Immediate
📰 関連する 2 件の記事
ithome_twWordPressプラグイン「Kirki」に、未認証の攻撃者が管理権限を奪取できる深刻な権限昇格の脆弱性(CVE-2026-8206)securityweekWordPressプラグインのKirkiおよびBurst Statisticsに深刻な脆弱性
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-03 のまとめ🔍 記事を検索