Kirki ist eines der WordPress-Plugins, das mir bei Kundenprojekten öfter begegnet — es macht den WordPress-Customizer deutlich komfortabler, und Themeum hat es in vielen Themes als Abhängigkeit eingebaut. Umso unangenehmer ist, was Wordfence diese Woche gemeldet hat: Eine kritische Lücke (CVE-2026-8206, CVSS 9.8) in den Versionen 6.0.0 bis 6.0.6 erlaubt es Angreifern, ohne Passwort die vollständige Kontrolle über WordPress-Admin-Konten zu übernehmen. Aktiv ausgenutzt, aktiv im Umlauf.
Angriff per Passwort-Reset — ohne sich vorher anzumelden
Die Schwachstelle steckt in der Funktion handle_forgot_password(), die Kirki als REST-API-Endpunkt registriert. Das Problem: Der Endpunkt prüft nicht, ob die anfragende Person überhaupt angemeldet ist. Jeder kann also — ohne Account, ohne Credentials — eine Anfrage schicken und dabei eine beliebige E-Mail-Adresse angeben, an die der Passwort-Reset-Link gehen soll. Tippt der Angreifer dort die eigene Adresse ein statt der des Opfers, schickt WordPress brav den Reset-Link dorthin.
Das Ergebnis: Voller Zugriff auf das Admin-Konto, ganz ohne Brute-Force, ganz ohne gestohlene Zugangsdaten. Eine REST-API-Anfrage, ein Klick in der Mailbox — fertig. (Klingt fast zu simpel für einen CVSS-Wert von 9.8. Ist es aber nicht — die Konsequenz ist vollständige Site-Übernahme, und genau das spiegelt die Bewertung wider.)
500.000 Installationen — rund 200.000 davon noch offen
Kirki hat laut WordPress.org über 500.000 aktive Installationen. Wordfence, die die Lücke entdeckt und gemeldet haben, beziffern den Anteil unbearbeiteter Installationen auf rund 40 Prozent — das sind ungefähr 200.000 WordPress-Sites, die aktuell noch angreifbar sind. Innerhalb von 24 Stunden nach Veröffentlichung des Wordfence-Reports zählte das Unternehmen 222 Angriffsversuche, die genau diese Schwachstelle ausnutzen.
Erschwerend kommt hinzu: Kirki wird häufig als Abhängigkeit in kommerziellen Themes mitgeliefert. Viele Betreiber wissen gar nicht, dass das Plugin auf ihrer Site aktiv ist — es wurde nie bewusst installiert, sondern kam still mit dem Theme. Wer das Plugin-Verzeichnis nicht regelmäßig durchforstet, hat hier eine blinde Flanke.
Patch seit dem 18. Mai: Version 6.0.7 ist Pflicht
Themeum hat die Schwachstelle mit Version 6.0.7 geschlossen, die am 18. Mai 2026 veröffentlicht wurde. Zwischen Patch und aktivem Exploit-Einsatz lagen gut 16 Tage — kein Ausreißer, aber lang genug, damit die Angreifer aufgeholt haben. Wer noch auf 6.0.0 bis 6.0.6 läuft, sollte jetzt aktualisieren, nicht morgen.
Für Sites, bei denen ein sofortiges Update nicht möglich ist — etwa wegen Theme-Kompatibilitätsproblemen — empfiehlt Wordfence das vorübergehende Deaktivieren des Plugins. Den betroffenen REST-API-Endpunkt per WAF-Regel zu blockieren ist eine weitere Übergangsoption, kein dauerhafter Ersatz. Das Update ist der einzige saubere Weg.
