Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 04.06.2026 · 3 min Lesezeit

WordPress-Plugin Kirki: CVE‑2026‑8206 ermöglicht Admin-Übernahme auf 500.000+ Websites

Kritische Lücke CVE-2026-8206 (CVSS 9.8) im WordPress-Plugin Kirki: Unauthentifizierte Angreifer übernehmen Admin-Konten via manipuliertem Passwort-Reset. Über 500.000 Installationen betroffen – Patch auf Version 6.0.7 sofort einspielen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochenes digitales Schloss symbolisiert kritische WordPress-Sicherheitslücke

Im WordPress-Customizer-Plugin Kirki wurde eine kritische Sicherheitslücke identifiziert, die unauthentifizierten Angreifern die vollständige Übernahme von Administrator-Konten ermöglicht. Die Schwachstelle, registriert als CVE-2026-8206 mit einem CVSS-Score von 9.8 (kritisch), betrifft alle Installationen der Versionen 6.0.0 bis 6.0.6. Bei mehr als 500.000 aktiven Installationen gilt das Risiko als außerordentlich hoch. Wordfence registrierte bereits in den ersten 24 Stunden nach Veröffentlichung über 222 Angriffsversuche. Ein Patch steht in Version 6.0.7 bereit.

Die Schwachstelle im Detail

Die Lücke befindet sich in der Funktion handle_forgot_password(), die über einen REST-API-Endpoint erreichbar ist. Der Endpoint akzeptiert einen Benutzernamen und eine E-Mail-Adresse, ohne zu prüfen, ob beide zum selben Account gehören. Dadurch kann ein Angreifer den Benutzernamen eines Administrators angeben und gleichzeitig eine eigene, von ihm kontrollierte E-Mail-Adresse übergeben. Der Passwort-Reset-Token wird dann an die Adresse des Angreifers versendet – ohne dass ein Login oder eine sonstige Authentifizierung erforderlich wäre.

Mit dem so erhaltenen Token setzt der Angreifer ein neues Passwort für das Administrator-Konto, meldet sich an und besitzt anschließend vollständige Kontrolle über die WordPress-Installation. Die Schwachstelle wurde von dem Sicherheitsforscher Choigyeongmin über das Wordfence Bug Bounty Program gemeldet; die offizielle Offenlegung erfolgte am 2. Juni 2026.

Bin ich betroffen?

Betroffen sind alle WordPress-Websites, auf denen das Plugin Kirki Freeform Page Builder/Customizer in einer Version zwischen 6.0.0 und 6.0.6 installiert ist. Von den über 500.000 Gesamtinstallationen gelten rund 150.000 als aktiv verwundbar. Die installierte Version lässt sich im WordPress-Dashboard unter Plugins → Installierte Plugins einsehen.

PluginBetroffene VersionenGepatchte VersionCVSS
Kirki Freeform Page Builder/Customizer6.0.0 – 6.0.66.0.79.8 (kritisch)

Wordfence-Premium-Nutzer sind seit dem 9. Mai 2026 durch eine Firewall-Regel geschützt. Für den kostenlosen Wordfence-Plan wird der Schutz ab dem 8. Juni 2026 ausgerollt. Wer keine WAF einsetzt, ist bis zum Einspielen des Patches ungeschützt.

Wie behebe ich das?

Das Update auf Kirki Version 6.0.7 schließt die Lücke und sollte umgehend über das WordPress-Dashboard eingespielt werden:

  1. Im WordPress-Backend unter Dashboard → Updates oder Plugins → Installierte Plugins prüfen, ob Kirki als zu aktualisierendes Plugin angezeigt wird.
  2. Update auf Version 6.0.7 durchführen.
  3. Nach dem Update die Plugin-Versionsnummer kontrollieren und sicherstellen, dass keine veraltete Version gecacht wurde.

Ist eine sofortige Aktualisierung nicht möglich, sollte das Plugin bis zum Patch-Einsatz deaktiviert werden. Zusätzlich empfiehlt sich die Prüfung der Administrator-Konten auf unautorisierte Einträge sowie eine Überprüfung der letzten Login-Protokolle. Für eine umfassende Absicherung von Zugängen bietet sich die Anleitung zur Einführung von Zwei-Faktor-Authentifizierung an. Grundlegende Serverhärtung erläutert der Beitrag Linux-Server absichern mit UFW und Fail2ban.

Was bedeutet das für Unternehmen?

Ein erfolgreicher Angriff über CVE-2026-8206 führt zur vollständigen Kompromittierung der betroffenen WordPress-Website – ohne dass der Angreifer ein Passwort kennen oder Schadsoftware vorab auf dem System platziert haben muss. Mögliche Folgen umfassen das Einschleusen von Malware, Skimming-Code für Zahlungsdaten oder Phishing-Inhalte. Da die Lücke aktiv ausgenutzt wird, ist die Dringlichkeit besonders hoch.

Für Agenturen und Hoster mit großen WordPress-Portfolios ist rasches Handeln zwingend erforderlich. Alle betreuten Websites sollten unverzüglich auf die gepatchte Version aktualisiert werden. Angesichts von über 222 dokumentierten Angriffsversuchen innerhalb eines einzigen Tages ist davon auszugehen, dass automatisierte Scanner die Schwachstelle bereits systematisch ausnutzen.

Websites, die zwischen dem Erscheinen von Kirki 6.0.0 und dem Verfügbarwerden des Patches möglicherweise angegriffen wurden, sollten auf unbekannte Administrator-Konten, geänderte Dateiinhalte und verdächtige Logins geprüft werden.

Quellen:
CyberSecurity News: WordPress Plugin Vulnerability Exposes 500,000+ Websites (3. Juni 2026)
CyberPress: WordPress Plugin Flaw Exposes 500,000+ Sites to Privilege Escalation

Verwandt

Weiter lesen

Alle Artikel →
Warn-Infografik zu CVE-2026-8732 in WP Maps Pro, mit unauthentifizierter Admin-Übernahme über eine kritische Plugin-Lücke, betroffenen WordPress-Websites, dringendem Update auf Version 6.1.1 und mehr als 15.000 gefährdeten Installationen.
03.06.2026 ·3 min

WP Maps Pro (CVE-2026-8732): Kritische Lücke erlaubt Admin-Übernahme - über 15.800 Sites in Gefahr

Eine kritische Lücke (CVE-2026-8732, CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt Angreifern ohne Anmeldung, Administrator-Konten anzulegen. Wordfence meldet aktive Angriffe - Patch 6.1.1 steht bereit.
Realistisches Hero-Bild mit WordPress-Admin- oder Entwickler-Arbeitsplatz für einen Artikel über eine kritische Sicherheitslücke mit möglicher Admin-Übernahme.
02.06.2026 ·3 min

WP Maps Pro: Kritische Lücke CVE-2026-8732 erlaubt Admin-Übernahme ohne Authentifizierung

Eine kritische Schwachstelle (CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt unauthentifizierten Angreifern, Administrator-Konten zu erstellen. Die Lücke wird bereits aktiv ausgenutzt. Patch ist seit Version 6.1.1 verfügbar.
Uhr und Zeitplan als Symbol fuer geplante Cronjobs unter WordPress
01.06.2026 ·7 min

WordPress Cron Job einrichten: WP-Cron durch echten System-Cron via WP-CLI ersetzen

WP-Cron läuft nur bei Seitenaufrufen und ist bei wenig Traffic unzuverlässig. In dieser Anleitung deaktivierst du das pageload-abhängige Verhalten und richtest einen echten System-Cronjob via WP-CLI ein, damit geplante WordPress-Aufgaben zuverlässig laufen.