The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 6.0.6. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to view all Kirki frontend forms and read stored visitor form submission data, including contact details, messages, and any other visitor-provided information submitted through site forms.
The Kirki page builder plugin for WordPress contains an authorization bypass vulnerability allowing authenticated subscribers to access all frontend forms and read sensitive visitor submission data. This affects versions up to 6.0.6 and exposes contact details, messages, and other form data submitted by site visitors.
يسمح هذا الضعف للمستخدمين المصرحين برؤية جميع نماذج Kirki الأمامية وقراءة بيانات تقديم الزوار المخزنة بما في ذلك تفاصيل الاتصال والرسائل. يؤثر على جميع الإصدارات حتى 6.0.6 ويشكل خطراً على خصوصية بيانات الزوار والامتثال للوائح حماية البيانات.
يحتوي مكون Kirki لمنشئ الصفحات على ثغرة تجاوز التفويض تسمح للمشتركين المصرحين بالوصول إلى جميع نماذج الواجهة الأمامية وقراءة بيانات تقديم الزوار الحساسة. يؤثر هذا على الإصدارات حتى 6.0.6 ويكشف تفاصيل الاتصال والرسائل وبيانات النماذج الأخرى.
Update the Kirki plugin to version 6.0.7 or later immediately. Review and audit all form submissions for unauthorized access. Implement role-based access controls to restrict form visibility. Monitor user activity logs for suspicious access patterns. Consider using Web Application Firewall (WAF) rules to detect authorization bypass attempts.
قم بتحديث مكون Kirki إلى الإصدار 6.0.7 أو أحدث فوراً. راجع وتدقيق جميع تقديمات النماذج للوصول غير المصرح به. تطبيق التحكم في الوصول القائم على الأدوار لتقييد رؤية النماذج. مراقبة سجلات نشاط المستخدم للأنماط المريبة. فكر في استخدام قواعد جدار الحماية لتطبيقات الويب للكشف عن محاولات تجاوز التفويض.