← Alertas
Vulnerabilidad Alto Activa

Fallo crítico en plugin Kirki de WordPress explotado activamente para tomar control de sitios

Hackers están explotando activamente CVE-2026-8206, una vulnerabilidad crítica de escalación de privilegios en el plugin Kirki para WordPress —herramienta de personalización instalada en más de un millón de sitios—. La falla permite a cualquier atacante tomar control de cualquier cuenta del sitio, incluyendo la del administrador.

2026-06-02 · BleepingComputer

Contexto

Hackers están explotando activamente CVE-2026-8206, una vulnerabilidad de escalación de privilegios —un fallo que permite a alguien con acceso mínimo tomar el control total de un sistema— en el plugin Kirki para WordPress. Kirki es una herramienta de personalización visual instalada en más de un millón de sitios.

La falla permite a cualquier usuario registrado en el sitio —incluso uno sin permisos— escalar hasta administrador y tomar control completo. No se necesita vulnerar servidores. Basta con tener una cuenta de usuario básica.

Impacto potencial

Para personas

Si tienes una cuenta de usuario (comentarista, suscriptor) en un sitio con Kirki vulnerable, esa cuenta puede haber sido usada para comprometer el sitio. No como víctima, sino como vector.

Para organizaciones

Empresas que operan sitios WordPress con Kirki instalado están expuestas ahora mismo. Un sitio comprometido puede usarse para alojar malware, robar datos de visitantes, o simplemente dejar de funcionar. Si el sitio procesa pagos o almacena datos de clientes, el riesgo regulatorio es inmediato.

Perspectiva GRC

Los plugins de WordPress son software de terceros. Muchas organizaciones no tienen un inventario actualizado de qué plugins están instalados en sus sitios, ni un proceso para aplicar actualizaciones de seguridad cuando se publican.

La pregunta de gobernanza: ¿quién en tu organización es responsable de mantener actualizados los plugins de tus sitios WordPress?

Recomendaciones

Para personas

Si administras un sitio WordPress, verifica si tienes Kirki instalado en Plugins → Plugins instalados. Si está activo, actualízalo o desactívalo hasta que haya un parche disponible.

Para organizaciones

Si tu organización tiene sitios WordPress, este es el momento de confirmar que existe un proceso de actualización de plugins. Si los sitios los administra un proveedor externo, solicitarle confirmación de que Kirki está actualizado o desactivado. Un sitio sin política de actualización de plugins es un riesgo operativo activo.


El 43% de los sitios web del mundo corren WordPress. Cada plugin adicional es una superficie de ataque que alguien externo mantiene —o no mantiene—. La lección permanente: un sitio web es infraestructura, no un proyecto terminado. Requiere mantenimiento de seguridad continuo, igual que cualquier otro sistema.

Leer fuente original →