Manipulasi REST API Kirki: Peretas Eksploitasi Celah Kritis untuk Ambil Alih Akun Admin WordPress

Gelombang serangan siber terbaru tengah membayangi ekosistem WordPress. Perusahaan keamanan siber Defiant, melalui tim riset Wordfence, secara resmi merilis peringatan darurat terkait adanya eksploitasi aktif terhadap celah keamanan kritis berkategori Privilege Escalation yang bersandar di dalam plugin populer Kirki.

Celah berbahaya ini dimanfaatkan oleh aktor peretas untuk membajak dan mengambil alih (hijack) akun pengguna mana pun secara instan, termasuk akun berspesifikasi tertinggi tingkat Administrator (Admin). Hanya dalam kurun waktu 24 jam terakhir, sistem pertahanan dinding api (firewall) Wordfence terkonfirmasi telah berhasil menghadang lebih dari 222 upaya serangan siber tertarget yang mengarah ke sasis situs web para pelanggan mereka.

Profil Komponen Terdampak: Kirki Plugin

Plugin yang memiliki nama lengkap Kirki – Freeform Page Builder, Website Builder & Customizer ini merupakan perangkat lunak penata letak visual gratisan (advanced theme customizer) yang sangat populer. Berdasarkan data statistik resmi dari repositori WordPress.org, plugin ini tercatat memiliki lebih dari 500.000 instalasi aktif.

[Kompartemen Kerentanan Eksploitasi Kirki Plugin]

  ├── Nomor Registrasi Celah──► CVE-2026-8206 (Kategori Kritis / Critical Privilege Escalation)
  ├── Awal Mula Infeksi Kode──► Diperkenalkan sejak pembaruan mayor versi rilis 6.0.0
  ├── Rentang Batas Rentan  ──► Menginfeksi seluruh sistem dari versi 6.0.0 hingga versi 6.0.6
  └── Estimasi Skala Risiko ──► Berdampak pada hampir 40% dari total basis pengguna aktif global

Analisis Teknis CVE-2026-8206: Manipulasi Fungsi ‘handle_forgot_password()’

Akar masalah dari kerentanan CVE-2026-8206 ini bersumber dari kecerobohan arsitektur pengkodean pada pembukaan jalur endpoint REST API kustom untuk kebutuhan pemulihan kata sandi.

Malafungsi ini bersarang di dalam fungsi pemrograman handle_forgot_password(). Sirkuit logika pada fungsi tersebut terbukti melakukan kesalahan fatal karena bersedia menerima parameter alamat email acak secara bebas (arbitrary email address) di tengah-tengah jalannya proses permintaan setel ulang kata sandi.

[Sirkuit Alur Kerja Serangan Bypass Email pada CVE-2026-8206]

  Peretas Kirim Request Reset Kata Sandi ──► Cukup Memasukkan Nama Pengguna Target (Contoh: 'admin')
                                                   │
                                                   ▼ [Lubang Celah Logika Kirki REST API]
  Peretas Menyisipkan Alamat Email Palsu Milik Mereka Sendiri (Attacker-Supplied Email)
                                                   │
                                                   ▼ [Malafungsi Eksekusi Kode]
  Plugin Membuat Tautan Reset Sah (Valid Link) ──► Dikirim ke Email Peretas (Bukan Email Pemilik Asli)
                                                   │
                                                   ▼
  Peretas Klik Tautan Klik Tautan ──► Ubah Password Admin & Kuasai Sasis Situs Total

Ketiadaan validasi silang (cross-validation) antara nama pengguna yang diminta dengan alamat email yang terdaftar di basis data membuat serangan ini menjadi sangat sepele (trivial) untuk diluncurkan. Aktor peretas jarak jauh tanpa hak akses otentikasi apa pun (unauthenticated attackers) dapat dengan mudah menghasilkan tautan pemulihan kata sandi sah untuk akun mana pun dan mengarahkannya ke kotak masuk email yang berada di bawah kendali mereka.

Risiko Pasca Infiltrasi Admin:

Begitu peretas berhasil masuk ke dalam dasbor utama menggunakan hak istimewa administrator, mereka memiliki kekuasaan mutlak atas sasis server situs web, termasuk:

• Menanamkan plugin berbahaya berisi skrip malicious code.
• Memodifikasi keseluruhan konten visual dan teks artikel website.
• Menyuntikkan pintu belakang persisten (persistent backdoors) atau konsol perintah jarak jauh (web shells).
• Menembus dan menguras isi basis data privat (private databases) yang menyimpan data sensitif pelanggan.

Kronologi Penemuan dan Penambalan Kode

Kerentanan kritis ini pertama kali diidentifikasi oleh peneliti keamanan siber independen bernama CHOIGYENGMIN, yang kemudian menyerahkan laporan temuannya kepada Wordfence pada 4 Mei 2026.

[Garis Waktu (Timeline) Penanganan Celah Keamanan CVE-2026-8206]

  04 Mei 2026: Peneliti CHOIGYENGMIN melaporkan detail bug ke tim Wordfence.
  16 Mei 2026: Wordfence melakukan verifikasi dan mengirimkan notifikasi resmi ke pihak vendor Kirki.
  18 Mei 2026: Vendor merilis pembaruan keamanan (Security Fix) versi 6.0.7 untuk menutup celah.
  02 Juni 2026: Wordfence mendeteksi lonjakan eksploitasi aktif di dunia nyata (In-the-wild exploitation).

Panduan Mitigasi untuk Pemilik Situs Web

Mengingat status kerentanan CVE-2026-8206 saat ini sudah berada di bawah serangan aktif di dunia nyata dan tidak memerlukan keahlian pemrograman tinggi untuk mengeksekusinya, para pemilik situs web dan administrator TI diinstruksikan untuk segera mengambil tindakan penyelamatan berikut:

1. Lakukan Pembaruan Instan: Segera masuk ke dasbor admin WordPress Anda dan lakukan pembaruan (upgrade) plugin Kirki ke versi aman terbaru, yaitu versi 6.0.7 atau lebih tinggi.
2. Deaktivasi Sementara: Jika karena satu dan lain hal Anda belum bisa melakukan pembaruan firmware akibat masalah kompatibilitas tema, segera nonaktifkan (disable) atau hapus sementara plugin Kirki dari sasis direktori sistem Anda untuk mengeliminasi vektor serangan REST API tersebut.
3. Periksa Aktivitas Pengguna: Lakukan audit menyeluruh terhadap log pengguna (user logs) untuk memastikan tidak ada penambahan akun administrator baru yang mencurigakan dalam beberapa hari terakhir.

Sumber: Laporan Investigasi Wordfence Defiant