如果你的 WordPress 站台裝了 Kirki — Freeform Page Builder 這個外掛,請現在就停下手邊的事去檢查版本。6 月初,資安界爆出 CVE-2026-8206:一個位於 Kirki 密碼重設功能的免認證權限提升漏洞,CVSS 高達 9.8,影響 6.0.0 到 6.0.6 版本。這個外掛裝機量超過 50 萬,估計仍有約 15 萬個網站處於可被攻擊的狀態。
一、一個 HTTP 請求就夠了
漏洞的可怕之處在於簡單到不可思議。問題出在密碼重設處理器(handle_forgot_password):當攻擊者提供一個有效的使用者名稱時,這個處理器竟然會接受攻擊者自己填的任意 email,然後把重設連結寄到那個攻擊者控制的信箱。也就是說,攻擊者只要送出一個 HTTP 請求——帶上一個已知的使用者名稱(例如 admin)和自己的 email——就能在完全不需要認證、不需要任何使用者互動的情況下,接管包含管理員在內的任何帳號。
二、而且正在發生
這不是理論上可行,是正在發生。資安公司 Defiant(Wordfence 的母公司)表示,光是在過去 24 小時內,他們的防火牆就攔下了超過 222 次針對客戶的攻擊嘗試。Kirki 團隊已釋出修補版本 6.0.7,修正後的流程會在寄出重設連結前,先驗證所填 email 是否真的對應到該帳號。所有管理員都被強烈建議立刻升級到 6.0.7 或更新版本。
我的觀點
又是一個信任了使用者輸入的經典翻車。攻擊者填什麼 email、系統就往哪裡寄重設連結——這違反了資安最基本的一條:永遠不要相信來自客戶端的資料。問題不在技術多高深,而在一個本該做的驗證沒做。
我更想談外掛即攻擊面這個更大的議題。WordPress 本身相對穩固,真正的破口幾乎都來自第三方外掛——你裝的每一個外掛,都是把一段別人寫的程式碼放進你的生死線。所以建議:建立外掛清單與最小安裝原則,沒在用的一律移除;把更新節奏自動化,至少對安全性更新做到當天上;在伺服器層加一道 WAF,在你來不及更新的空窗期擋下大規模掃描;並把後台路徑、檔案權限與 REST API 權限管理收緊。免認證漏洞最致命的地方,是攻擊完全不需要前置條件——你唯一能做的,就是不要把對外攻擊面留得比必要還大。資安從來不是裝一個神兵,而是把無聊的基本功每天做好。
資料來源
- Critical Kirki flaw exploited to hijack WordPress admin accounts — BleepingComputer
- Kirki WordPress Plugin Account Takeover (CVE-2026-8206) — Threat-Modeling.com
- CVE-2026-8206 (CVSS 9.8): Kirki Plugin Flaw on 500,000+ Sites — Secure Bulletin
- CVE-2026-8206 — Patchstack Database