WordPress-Plugin-Schwachstelle gefährdet über 500.000 Websites durch Privilegien-Eskalationsangriffe
Ein kritisches Sicherheitsproblem im weit verbreiteten WordPress-Plugin Kirki hat mehr als 500.000 Websites potenziellen Account-Takeover-Angriffen ausgesetzt; Forscher warnen, dass etwa 150.000 Websites aufgrund betroff

Kurzfassung
Warum das wichtig ist
- Ein kritisches Sicherheitsproblem im weit verbreiteten WordPress-Plugin Kirki hat mehr als 500.000 Websites potenziellen Account-Takeover-Angriffen ausgesetzt; Forscher warnen, dass etwa 150.000 Websites aufgrund betroff
- Sicherheitsforscher warnen, dass aufgrund der betroffenen Versionen etwa 150.000 Websites derzeit verwundbar sind.
- Die Schwachstelle ist unter der Bezeichnung CVE-2026-8206 katalogisiert und weist einen CVSS-Score von 9,8 auf, was sie als kritisch einstuft.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Ein kritisches Sicherheitsproblem im weit verbreiteten WordPress-Plugin Kirki hat mehr als 500.000 Websites potenziellen Account-Takeover-Angriffen ausgesetzt; Forscher warnen, dass etwa 150.000 Websites...
Warum relevant
Das Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, durch die Ausnutzung eines fehlerhaften Passwort-Reset-Mechanismus ihre Privilegien zu eskalieren.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Das Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, durch die Ausnutzung eines fehlerhaften Passwort-Reset-Mechanismus ihre Privilegien zu eskalieren. Ziel ist es, den vollständigen Zugriff auf Administrator-Konten zu erlangen.
Die Schwachstelle wurde vom Sicherheitsforscher Choigyeongmin entdeckt und über das Wordfence Bug Bounty Program gemeldet. Als Belohnung für die Meldung erhielt er 6.436 US-Dollar. Wordfence bestätigte das Problem am 8. Mai 2026. Bereits am 9. Mai, noch vor der öffentlichen Bekanntgabe, wurden Firewall-Schutzmaßnahmen für Premium-Nutzer Kraft gesetzt.
Das Plugin „Kirki", das häufig zur Erweiterung des WordPress-Customizers und zum Seitenbau eingesetzt wird, stellt einen REST-API-Endpunkt bereit, der für die Verarbeitung ändig ist. Die Ursache der Schwachstelle liegt in der Funktion `handle_forgot_password()`. Hier werden Benutzereingaben während des Reset-Prozesses unzureichend validiert.
Technik und Auswirkungen
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/wordpress-plugin-vulnerability-exposes-2/
- Quell-URL
- https://cybersecuritynews.com/wordpress-plugin-vulnerability-exposes-2/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Legendäre Grafikkarte GeForce GTX 1060 feiert 10. Geburtstag
Die am 19. Juli 2016 eingeführte GeForce GTX 1060 feierte ihr zehnjähriges Jubiläum, nachdem sie für insgesamt 59 Monate ununterbrochen den ersten Platz in den Steam-Hardware-Umfragen innehatte. Obwohl das Modell mittlerweile vom Markt genommen wurde und sein aktueller Marktanteil in den Steam-Daten von 2026 bei 1,54 Prozent liegt, gilt es weiterhin als eines der erfolgreichsten und ikonischsten Grafikkarten-Modelle der Geschichte.
19.07.2026
Live Redaktion


