Tienduizenden WordPress-sites zijn via een kritiek lek in een plug-in genaamd Kirki zeer eenvoudig over te nemen. De ontwikkelaars hebben op 18 mei een update beschikbaar gesteld, maar veel websites missen op het moment van schrijven deze patch en zijn zodoende nog altijd kwetsbaar. Kirki is een 'freeform visual builder' voor het vormgeven en opzetten van WordPress-sites. Meer dan een half miljoen WordPress-sites maken er gebruik van.

Via een kritieke kwetsbaarheid in Kirki kunnen aanvallers zonder al teveel moeite het account van de admin en andere gebruikers overnemen. De plug-in biedt via een 'forgot password' functie de optie voor het uitvoeren van een wachtwoordreset. De gebruiker moet hierbij zijn gebruikersnaam of e-mailadres opgeven. Op basis van het request zoekt de plug-in de bijbehorende gebruiker, genereert een key om het wachtwoord te resetten en stuurt de resetlink naar die gebruiker.

Een kritieke logicafout in de plug-in zorgt ervoor dat een aanvaller de resetlink naar zijn eigen e-mailadres kan laten sturen. Wanneer een geldige gebruikersnaam wordt opgegeven zoekt de plug-in het bijbehorende account. In plaats van het bijbehorende e-mailadres te gebruiken zoals in de database staat, gebruikt de plug-in het e-mailadres dat in de 'forgot password request' is opgegeven. Een aanvaller kan zo zijn eigen e-mailadres opgeven en daarna bijvoorbeeld een resetlink voor het admin-account ontvangen. Daarmee is vervolgens de website volledig over te nemen.

De ontwikkelaars van Kirki werden op 15 mei ingelicht en kwamen drie dagen later met versie 6.0.7 waarin het probleem is verholpen, zo meldt securitybedrijf Wordfence. De enige vermelding van de kwetsbaarheid in de release notes is deze regel: "Fix: Unauthenticated Privilege Escalation via ‘handle_forgot_password’". Het probleem raakt alleen Kirki versie 6.0 tot en met 6.0.6. Volgens WordPress.org draaien zo'n 200.000 websites versie 6.x. Dezelfde cijfers van WordPress.org laten ook zien dat tienduizenden sites de update nog niet hebben geïnstalleerd.