Des pirates informatiques exploitent une faille de sécurité critique, référencée CVE-2026-8206, dans l’extension Kirki pour WordPress. Cette vulnérabilité leur permet d’élever leurs privilèges et de prendre le contrôle de n’importe quel compte utilisateur, y compris ceux des administrateurs.
Les tentatives d’attaque ont été repérées par la société de sécurité Defiant. Son pare-feu Wordfence a bloqué plus de 222 assauts contre ses clients au cours des dernières 24 heures.
L’extension concernée s’intitule Kirki – Freeform Page Builder, Website Builder & Customizer. Ce constructeur visuel avancé est actif sur plus de 500 000 sites web.
Wordfence indique que le problème est apparu avec la version majeure 6.0.0 et touche toutes les versions jusqu’à la 6.0.6. Ces versions représentent près de 40% des installations, d’après les statistiques de téléchargement sur WordPress.org.
La faille CVE-2026-8206 provient de l’exposition d’un point de terminaison de l’API REST personnalisée pour les réinitialisations de mot de passe. Ce point d’accès utilise la fonction ‘handle_forgot_password()’.
L’extension accepte une adresse email arbitraire lors d’une demande de réinitialisation. Si un nom d’utilisateur est fourni, le plugin génère un lien valide pour changer le mot de passe du compte associé. Cependant, il envoie ce lien à l’adresse email fournie par l’attaquant, et non à celle enregistrée par le propriétaire légitime du compte.
Ce comportement permet à des attaquants non authentifiés de créer facilement des liens de réinitialisation pour n’importe quel utilisateur du site et de les faire envoyer vers une boîte mail qu’ils contrôlent. Ils peuvent alors détourner le compte sans difficulté.
Une fois qu’un pirate obtient un accès de niveau administrateur, il peut installer des extensions malveillantes, modifier le contenu du site, déployer des web shells ou des portes dérobées persistantes, et accéder aux bases de données privées.
Cette vulnérabilité a été découverte par le chercheur en sécurité CHOIGYENGMIN. Il l’a signalée à Wordfence le 4 mai 2026. L’entreprise a averti l’éditeur le 16 mai, et une correction a été publiée avec la version 6.0.7 le 18 mai 2026.
Compte tenu de l’exploitation active de cette faille et de la faible complexité technique requise pour lancer une attaque, il est essentiel que les propriétaires et administrateurs de sites mettent à jour l’extension vers la version 6.0.7 ou la désactivent immédiatement.