CVE-2026-8206 — ช่องโหว่ปลั๊กอิน WordPress Kirki เปิดทางยึดบัญชีแอดมิน กระทบเว็บกว่า 500,000 แห่ง CVSS 9.8

ช่องโหว่ระดับวิกฤตในปลั๊กอิน Kirki ของ WordPress (CVE-2026-8206 CVSS 9.8) เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนยึดบัญชีแอดมินได้ กระทบเว็บกว่า 500,000 แห่ง และยังเสี่ยงอยู่ราว 150,000 แห่ง ช่องโหว่อยู่ในฟังก์ชัน handle_forgot_password() ที่รับทั้ง username และ email โดยไม่ตรวจความสัมพันธ์ ทำให้ผู้โจมตีส่งคำขอรีเซ็ตรหัสด้วย username ของแอดมินแต่ใช้อีเมลของตัวเอง รับ reset token แล้วตั้งรหัสใหม่ยึดบัญชี กระทบเวอร์ชัน 6.0.0–6.0.6 แก้แล้วใน 6.0.7