Eine kritische Lücke im verbreiteten WordPress-Plugin Kirki erlaubt unauthentifizierten Angreifern die vollständige Übernahme betroffener Websites. Die US-Behörde CISA nahm die Schwachstelle in ihren Katalog aktiv ausgenutzter Lücken auf.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die Sicherheitslücke trägt die Kennung CVE-2026-8206 und betrifft rund 150.000 Websites. Schon in den ersten 24 Stunden nach der Veröffentlichung am 2. Juni blockierte der Dienst Wordfence über 222 Angriffsversuche.
Das Wichtigste in Kürze
- CVE-2026-8206 im Plugin Kirki erreicht einen CVSS-Wert von 9,8 und gilt damit als kritisch.
- Die Lücke sitzt in der Passwort-Reset-Funktion und benötigt keinerlei Anmeldedaten für die Ausnutzung.
- Betroffen sind rund 150.000 aktive Installationen, das Plugin zählt über 500.000 Downloads.
- Die CISA verpflichtet Bundesbehörden zum sofortigen Handeln, Betreiber sollten umgehend aktualisieren.
Wie gefährlich ist die Kirki-Lücke?
Der Fehler steckt in der Funktion handle_forgot_password(). Über eine fehlerhafte Berechtigungsprüfung in der REST-API-Logik lassen sich Passwort-Reset-Links auf eine vom Angreifer kontrollierte E-Mail-Adresse umleiten. Damit übernimmt ein Außenstehender ein Konto, ohne jemals gültige Zugangsdaten besessen zu haben.
Genau diese fehlende Authentifizierung macht die Lücke so brisant. Ein Angreifer braucht weder Login noch Vorkenntnisse, ein automatisierter Bot reicht. Entdeckt wurde die Schwachstelle am 4. Mai 2026 vom Sicherheitsforscher CHOIGYEONGMIN, der dafür eine Prämie von umgerechnet rund 5.200 Euro erhielt.
Nach der öffentlichen Bekanntgabe registrierten Sicherheitsexperten sofort einen Anstieg der Angriffe. Die Aufnahme in den CISA-Katalog bekannter ausgenutzter Lücken bestätigt, dass die Schwachstelle bereits aktiv attackiert wird. Das verschiebt die Lage von „theoretisch riskant“ zu „akut“.
Was sollten Betreiber jetzt tun?
Aktualisieren Sie Kirki sofort auf die gepatchte Version. Prüfen Sie anschließend die Benutzerliste im wp-admin auf unbekannte Administrator-Konten und rotieren Sie die Passwörter aller Admins. Ein Blick in die REST-API-Logs zeigt, ob bereits verdächtige Zugriffe auf die Passwort-Reset-Endpunkte stattfanden.
Strukturell bleibt das Plugin-Ökosystem die größte Angriffsfläche von WordPress. Über 65.000 Erweiterungen liegen im offiziellen Verzeichnis, viele ohne professionelles Security-Team. Eine regelmäßige Plugin-Inventur und automatische Updates für unkritische Erweiterungen senken das Risiko spürbar. Welche Hoster automatische Patches und Plugin-Monitoring integrieren, zeigt unser WordPress-Hosting-Vergleich, grundlegende Schutzmaßnahmen sammelt unser Ratgeber zur WordPress-Sicherheit.
Mehr Newshunger?
