WordPressでページ作成やカスタマイズ機能を提供するプラグイン「Kirki – Freeform Page Builder, Website Builder & Customizer」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 6.0.6 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、管理者を含む任意のアカウントが乗っ取られる可能性があります。
対策として、バージョン 6.0.7 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、パスワードの再設定を申請する処理(いわゆる「パスワードをお忘れの方」向けの機能)において、再設定用リンクの送信先メールアドレスを十分に確認できていなかったことに起因します。
その結果、本来はアカウントの持ち主にしか届かないはずの再設定用リンクが、持ち主以外の第三者に届いてしまう状況となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
アカウントの乗っ取りに関する影響
- 管理者を含む、サイトに登録された任意のアカウントが乗っ取られる
- 乗っ取られたアカウントの権限で、管理画面の操作やサイトの設定が変更される
被害発生の条件
以下の条件がそろった場合に、被害が発生する可能性があります。
- 攻撃者がサイトにアクセスできる状態である(ログインの有無は問いません)
- 攻撃者が、乗っ取りたいアカウントのユーザー名を把握している
なお、被害者側の操作(リンクのクリックなど)は不要で、攻撃者だけの操作で成立します。
技術的な詳細
(ここはやや専門的な内容です。仕組みの詳細にご関心がなければ読み飛ばしていただけます。)
このプラグインには、パスワードの再設定を申請するための機能が用意されています。本来この機能では、申請されたアカウントに登録済みのメールアドレス宛にのみ、再設定用リンクを送る必要があります。
しかし、申請時にユーザー名を指定した場合、送信先のメールアドレスとして申請内容に含まれた値がそのまま使われ、そのアドレスが対象アカウントの登録メールアドレスと一致するかどうかの確認が行われていませんでした。
さらに、この機能はログインしていない状態でも利用できたため、第三者でも申請が可能でした。
攻撃の流れ
悪用は、おおまかに次の流れで行われます。
- 攻撃者が、パスワード再設定の機能に対して再設定を申請する
- その申請に、対象アカウントのユーザー名と攻撃者自身のメールアドレスを指定する(その他の項目は省略)
- 対象アカウントの再設定用リンクが、攻撃者のメールアドレスに届く
- 攻撃者がそのリンクからパスワードを変更し、アカウントを乗っ取る
(模倣防止のため、具体的な指定内容や送信の形式は省略しています)
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(6.0.7 以降)へ更新してください。
- 被害確認
- Webサーバーのアクセスログで、アクセス先のURLに「kirki-forgot-password」という文字列を含む不審なアクセスが記録されていないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、身に覚えのない管理者アカウントの追加や、意図しないパスワード変更・ログインの形跡がないか確認してください。
- メール送信ログを保存している場合は、見知らぬ外部アドレス宛のパスワード再設定メールが送信されていないか確認してください。
- 追加のセキュリティ対策
- 万一、不審なアクセスや乗っ取りの形跡が確認された場合は、更新後に管理者など重要なアカウントのパスワードを再設定してください。
- WAF(Web Application Firewall:不正な通信を遮断する仕組み)の導入は、本脆弱性を狙うアクセスの遮断に有効です。
⇒不審なアカウントや操作履歴が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Kirki – Freeform Page Builder, Website Builder & Customizer 6.0.6 までのバージョン(6.0.0〜6.0.6)
脆弱性情報 (CVE-ID)
CVE-2026-8206 
(公開日 2026年6月2日 更新日 2026年6月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-8206 悪用確率 0.12% (上位70%) 2026年6月2日時点
参考
Kirki 6.0.0 – 6.0.6 – Unauthenticated Privilege Escalation via ‘handle_forgot_password’
Unauthenticated Privilege Escalation Vulnerability Patched in Kirki WordPress Plugin
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Kirki プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
