الثغرات ›

CVE-2026-8073

مرتفع

CWE-23 — نوع الضعف

                    نُشر: May 19, 2026                      ·  آخر تحديث: May 26, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Kirki – Freeform Page Builder, Website Builder & Customizer plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation and missing capability check in the 'downloadZIP' function in all versions up to, and including, 6.0.6. This makes it possible for unauthenticated attackers to read and delete arbitrary files limited in the WordPress uploads base directory.

🤖 ملخص AI

The Kirki WordPress plugin versions up to 6.0.6 contain a vulnerability allowing unauthenticated attackers to delete arbitrary files in the uploads directory due to insufficient path validation. This affects websites using this popular page builder plugin without proper access controls.

📄 الوصف (العربية)

تحتوي إضافة Kirki للصفحات المخصصة في WordPress على ثغرة في دالة downloadZIP تسمح للمهاجمين غير المصرحين بحذف الملفات التعسفية في مجلد التحميلات. الثغرة ناتجة عن عدم كفاية التحقق من مسارات الملفات وغياب فحوصات القدرات الأمنية.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 21, 2026 17:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom healthcare

🎯 تقنيات MITRE ATT&CK

T1070.004 T1566.002 T1190

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Kirki plugin to version 6.0.7 or later immediately. If immediate patching is not possible, disable the plugin and implement Web Application Firewall rules to block requests to the vulnerable downloadZIP function. Restrict file permissions on the WordPress uploads directory and implement access controls.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Kirki إلى الإصدار 6.0.7 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل الإضافة وتطبيق قواعد جدار حماية تطبيقات الويب لحجب الطلبات للدالة المعرضة. قيد صلاحيات الملفات في مجلد التحميلات وطبق ضوابط الوصول.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-2

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://plugins.trac.wordpress.org/browser/kirki/tags/6.0.1/includes/API.php#L60

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3535640/kirki/trunk/includes/API.php

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/b073edd0-3f40-423e-976e-996b2...

security@wordfence.com

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-23

EPSS0.12%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-19

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-23

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-8073

عرّفنا بنفسك

تسجيل الدخول مطلوب