Vulnerabilities ›

CVE-2026-8096

Medium

CWE-862 — Weakness Type

                    Published: May 19, 2026                      ·  Modified: May 22, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.6. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to view all Kirki frontend forms and read stored visitor form submission data, including contact details, messages, and any other visitor-provided information submitted through site forms.

🤖 AI Executive Summary

The Kirki page builder plugin for WordPress contains an authorization bypass vulnerability allowing authenticated subscribers to access all frontend forms and read sensitive visitor submission data. This affects versions up to 6.0.6 and exposes contact details, messages, and other form data submitted by site visitors.

📄 Description (Arabic)

يسمح هذا الضعف للمستخدمين المصرحين برؤية جميع نماذج Kirki الأمامية وقراءة بيانات تقديم الزوار المخزنة بما في ذلك تفاصيل الاتصال والرسائل. يؤثر على جميع الإصدارات حتى 6.0.6 ويشكل خطراً على خصوصية بيانات الزوار والامتثال للوائح حماية البيانات.

🤖 ملخص تنفيذي (AI)

يحتوي مكون Kirki لمنشئ الصفحات على ثغرة تجاوز التفويض تسمح للمشتركين المصرحين بالوصول إلى جميع نماذج الواجهة الأمامية وقراءة بيانات تقديم الزوار الحساسة. يؤثر هذا على الإصدارات حتى 6.0.6 ويكشف تفاصيل الاتصال والرسائل وبيانات النماذج الأخرى.

🤖 AI Intelligence Analysis Analyzed: May 21, 2026 13:37

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1548.002 T1087.001 T1526

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Kirki plugin to version 6.0.7 or later immediately. Review and audit all form submissions for unauthorized access. Implement role-based access controls to restrict form visibility. Monitor user activity logs for suspicious access patterns. Consider using Web Application Firewall (WAF) rules to detect authorization bypass attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Kirki إلى الإصدار 6.0.7 أو أحدث فوراً. راجع وتدقيق جميع تقديمات النماذج للوصول غير المصرح به. تطبيق التحكم في الوصول القائم على الأدوار لتقييد رؤية النماذج. مراقبة سجلات نشاط المستخدم للأنماط المريبة. فكر في استخدام قواعد جدار الحماية لتطبيقات الويب للكشف عن محاولات تجاوز التفويض.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

7.1.1 7.1.2 7.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 3

🔗

https://plugins.trac.wordpress.org/browser/kirki/tags/6.0.4/includes/Ajax.php#L675

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3535640/kirki

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/1a4414b1-6a49-42f8-9927-93763...

security@wordfence.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-19

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8096

Introduce Yourself

Sign In Required