Honderdduizenden websites lopen risico door het misbruik van twee kwetsbaarheden in de WordPress-plugins Kirki en Burst Statistics, waarschuwt beveiligingsbedrijf Defiant. Kirki, een plugin die website- en pagina-aanmaak en WordPress customizer-functionaliteit biedt, bevat in versies 6.0.0 tot en met 6.0.6 een ernstig lek waardoor ongeauthenticeerde aanvallers via het wachtwoord-resetproces accounts kunnen overnemen. Deze kwetsbaarheid, geregistreerd als CVE-2026-8206 met een CVSS-score van 9.8, maakt het mogelijk om een gebruikersnaam en een door de aanvaller gecontroleerd e-mailadres op te geven, waarna een geldige resetlink naar dat e-mailadres wordt gestuurd. Hierdoor kan een aanvaller een wachtwoord resetten en zo controle krijgen over het account, inclusief administratieve accounts waarmee de hele website kan worden overgenomen, zoals Defiant uitlegt.

Burst Statistics, een lichte plugin die gebruikers inzicht geeft in websiteverkeer en prestaties, bevat in versies 3.4.0 tot en met 3.4.1.1 een authenticatie-omzeilingslek. Dit lek stelt ongeauthenticeerde aanvallers in staat om via een fout in de validatie van applicatiewachtwoorden in de Authorization-header tijdelijk administratorrechten te verkrijgen. De plugin behandelt de REST API-aanvraag onterecht als geauthenticeerd en stelt de huidige gebruiker in op het opgegeven administratoraccount, waardoor onbevoegde toegang ontstaat tot beheerdersfuncties, zoals het aanmaken van nieuwe administratoraccounts. Dit wordt door Defiant nader toegelicht in hun analyse.

In de afgelopen 24 uur heeft Defiant duizenden aanvallen op deze kwetsbaarheden geblokkeerd en waarschuwt dat mogelijk honderden duizenden websites kwetsbaar zijn. Kirki heeft meer dan 500.000 actieve installaties, waarvan naar schatting 150.000 een kwetsbare versie gebruiken. Burst Statistics is actief op meer dan 200.000 sites. Gebruikers worden dringend geadviseerd om Kirki bij te werken naar versie 6.0.7 of hoger en Burst Statistics naar versie 3.4.2 of hoger, waarin de beveiligingsproblemen zijn opgelost.