WordPress-Plugin-Schwachstelle gefährdet über 500.000 Websites durch Privilegien-Eskalationsangriffe

Die Schwachstelle wurde vom Sicherheitsforscher Choigyeongmin entdeckt und über das Wordfence Bug Bounty Program gemeldet, wodurch eine Belohnung in Höhe von 6.436 US-Dollar gezahlt wurde. Wordfence bestätigte das Problem am 8. Mai 2026 und setzte am 9. Mai, vor der öffentlichen Bekanntgabe, Firewall-Schutzmaßnahmen für Premium-Nutzer in Kraft.

WordPress-Plugin-Schwachstelle gefährdet Websites Kirki, ein beliebtes Plugin zur Erweiterung des WordPress-Customizers und zum Seitenbau, stellt ein REST-API-Endpunkt bereit, der für die Verarbeitung ändig ist.

Die Schwachstelle befindet sich in der Funktion handle_forgot_password(), bei der Benutzereingaben während des Reset-Prozesses unzureichend validiert werden. In einer sicheren Implementierung sollte eine Passwort-Reset-Anfrage einen Reset-Link ausschließlich an die mit dem betroffenen Benutzerkonto verbundene E-Mail-Adresse senden.

Technik und Auswirkungen

In den anfälligen Versionen akzeptiert das Plugin jedoch sowohl Benutzernamen als auch E-Mail-Parameter, ohne deren Zusammenhang zu überprüfen. Wird ein gültiger Benutzername angegeben, identifiziert das Plugin das Benutzerkonto korrekt. Es verwendet jedoch weiterhin die, die in der Anfrage übermittelt wurde.

Diese logische Lücke ermöglicht eine einfache Ausnutzung. Ein Angreifer übermittelt eine Passwort-Reset-Anfrage mit einem legitimen Benutzernamen, beispielsweise eines Administrators, sowie einer beliebigen E-Mail-Adresse, die er kontrolliert.

Das Plugin generiert daraufhin einen gültigen Reset-Token und sendet diesen an die E-Mail-Adresse des Angreifers statt an die des legitimen Benutzers. Mit dem Reset-Link kann der Angreifer ein neues Passwort festlegen und unbefugt auf das Konto zugreifen. Eine erfolgreiche Ausnutzung kann zu einer vollständigen Kompromittierung der Website führen.

Technischer Hintergrund

Angreifer können bösartige Plugins installieren, Backdoors einfügen, gefälschte Administrator-Konten erstellen oder persistente Webshells bereitstellen, was gängigen Techniken der Nachausnutzung entspricht, die der Privilegiensteigerung und der Persistenz zugeordnet sind. Wordfence meldete den Fehler am 15.

Mai 2026 an Themeum, und ein Patch wurde drei Tage später in Version 6.0.7 veröffentlicht. Die Abhilfe ist einfach, aber dringend erforderlich. Website-Administratoren werden dringend aufgefordert, das Kirki-Plugin unverzüglich auf Version 6.0.7 oder eine neuere Version zu aktualisieren.

Zusätzliche Schutzmaßnahmen stehen über die Firewall-Regeln ügung; Premium-Nutzer sind bereits geschützt, während kostenlose Nutzer ab dem 8. Juni 2026 abgedeckt sein werden.

Sicherheitslage und Risiko

Angesichts der einfachen Ausnutzbarkeit und der hohen Auswirkung stellt diese Schwachstelle ein erhebliches Risiko für WordPress-Umgebungen dar, insbesondere solche mit exponierter Benutzerenumeration oder öffentlich zugänglichen Login-Funktionen.

Eine schnelle Patchung und die Überwachung verdächtiger Passwort-Reset-Aktivitäten sind unerlässlich, um Kompromittierungen zu verhindern. Abi ist Security-Editorin und Mitautorin bei