Introducción
Recientemente se ha descubierto una vulnerabilidad crítica en el plugin Kirki para WordPress, que permite a atacantes no autenticados escalar privilegios y tomar control de cuentas de usuario, incluyendo cuentas de administrador. Este plugin, que cuenta con más de 500,000 instalaciones activas, ha sido objeto de atención debido a la seriedad de la vulnerabilidad.
Detalles de la Vulnerabilidad
La vulnerabilidad fue reportada el 4 de mayo de 2026 y está relacionada con la funcionalidad de restablecimiento de contraseñas del plugin. Aunque se estima que solo alrededor de 150,000 sitios están utilizando una versión vulnerable, es crucial que los administradores de sitios que usan Kirki tomen medidas inmediatas para proteger sus instalaciones.
Ficha técnica de la vulnerabilidad
- Plugin afectado: Kirki
- Versión vulnerable: Introducida en la versión 6.0
- Tipo de vulnerabilidad: Escalación de privilegios no autenticada
- Impacto: Permite a atacantes no autenticados tomar control de cuentas de usuario arbitrarias, incluyendo administradores
- Recomendación: Actualizar a la última versión del plugin
Recomendaciones de Seguridad
Para mitigar el riesgo asociado a esta vulnerabilidad, se recomienda a los administradores de sitios que:
- Actualicen el plugin Kirki a la última versión disponible.
- Revisen los registros de actividad de sus sitios en busca de accesos no autorizados.
- Implementen medidas de seguridad adicionales, como la autenticación de dos factores (2FA) para cuentas de administrador.
Conclusión
La seguridad en WordPress es un aspecto crítico que no debe ser descuidado. La vulnerabilidad en el plugin Kirki subraya la importancia de mantener todos los plugins actualizados y de estar al tanto de las últimas noticias de seguridad. No esperes a que sea demasiado tarde; actúa ahora para proteger tu sitio.
