CVE-2026-8073 es una vulnerabilidad crítica de tipo path traversal en el plugin Kirki para WordPress que permite a cualquier visitante no autenticado leer y eliminar archivos del directorio /wp-content/uploads/ sin necesitar ninguna credencial. Afecta todas las versiones hasta la 6.0.6 inclusive, y según el reporte de Wordfence, el parche está disponible desde el 18 de mayo de 2026 en la versión 6.0.7.
En 30 segundos
- Plugin afectado: Kirki – Freeform Page Builder & Customizer, versiones ≤6.0.6
- Gravedad: CVSS 7.5 (Alta) — no requiere autenticación ni interacción del usuario
- Tipo: CWE-23 Relative Path Traversal en la función
downloadZIP() - Impacto: lectura y eliminación de archivos dentro de
/wp-content/uploads/ - Solución: actualizar a Kirki 6.0.7, disponible desde el 18 de mayo de 2026
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence, Inc., que proporciona protección contra malware, ataques DDoS y vulnerabilidades mediante un firewall WAF y escaneo de amenazas.
CVE-2026-8073 en Kirki: vulnerabilidad crítica explicada
Kirki es un plugin para WordPress que extiende el Customizer nativo con controles avanzados de diseño. Con más de 500.000 instalaciones activas según el repositorio de wordpress.org, se usa principalmente en constructores de páginas y temas premium para gestionar tipografías, colores, campos repetidores y opciones de tema.
El problema detectado vive en la función downloadZIP() dentro de includes/API.php. Esta función, según el reporte de INCIBE-CERT, no valida correctamente la ruta del archivo que recibe como parámetro ni verifica que el solicitante tenga los permisos necesarios. El resultado es que cualquier visitante puede manipular la ruta para apuntar a archivos arbitrarios dentro del directorio de uploads de WordPress.
Publicada el 19 de mayo de 2026, la vulnerabilidad recibió una puntuación base de 7.5 en el vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N. Traducido: acceso por red, baja complejidad, sin privilegios, sin interacción del usuario.
¿A quién afecta? Sitios con Kirki en riesgo
Si tu sitio tiene Kirki instalado y activo en cualquier versión desde la 1.0 hasta la 6.0.6, está expuesto. El riesgo aplica incluso si el plugin está instalado pero desactivado, ya que el endpoint vulnerable puede estar accesible igual según la configuración del servidor.
Los sitios más expuestos son tres: temas premium que incluyen Kirki como dependencia (muchos lo hacen en silencio, revisá tu carpeta de tema), sitios que usan Kirki directamente como constructor de interfaces de personalización, y blogs o portfolios donde un desarrollador instaló Kirki hace años y nunca lo tocó de nuevo (que es, honestamente, la mayoría de los casos).
Con 500.000 instalaciones activas, el universo de sitios vulnerables es grande. Y como no se necesita estar logueado para explotar esto, el riesgo de ataques automatizados es real. Tema relacionado: los mejores WAF para WordPress.
¿Qué puede hacer un atacante con esta vulnerabilidad?
Acá viene lo bueno (o lo malo, dependiendo de qué lado estés): el alcance está limitado. El atacante no puede leer ni borrar wp-config.php, los archivos de tema, ni nada fuera del directorio /wp-content/uploads/. Eso baja la gravedad, pero no elimina el problema.
Dentro de uploads, el daño puede ser considerable. Podés perder imágenes de posts, PDFs adjuntos, documentos descargables, y lo que me parece más crítico: si guardás backups dentro de esa carpeta (algo que WPVivid y otros plugins hacen por defecto), esos archivos también son accesibles. Un atacante puede descargar el ZIP del backup, ver la estructura de tu base de datos, tus credenciales de configuración guardadas en el backup, y más.
¿Eliminación masiva? También es posible. Que te borren toda la galería de imágenes de un e-commerce no es un ataque silencioso, pero sí es suficientemente destructivo para arruinar una jornada de trabajo.
Lo que no está en riesgo: la base de datos directamente, wp-config.php, archivos PHP de plugins o temas, ni archivos fuera del webroot. La «confidencialidad alta» del score CVSS refleja el acceso a backups más que el acceso a código fuente.
Cómo funciona el path traversal: sin misterio
Ponele que le pedís a un sistema que te dé el archivo foto.jpg desde la carpeta /uploads/2026/05/. Un sistema mal validado acepta que alguien pida ../../wp-config.php usando los puntos dobles para «subir» directorios. Eso es path traversal en su forma más básica. Esto se conecta con lo que analizamos en herramientas para detectar malware.
En el caso de CVE-2026-8073, la función downloadZIP() recibe una ruta como parámetro y la usa para localizar y comprimir archivos sin sanitizar si esa ruta contiene secuencias ../. El changeset de la versión 6.0.7 en el repositorio oficial muestra exactamente qué líneas de API.php se modificaron: se agregó validación de rutas y verificación de permisos que antes no existía.
Lo que hace más grave este caso particular es la ausencia de verificación de capacidades (capability check). Normalmente, hasta funciones que hacen cosas relativamente inofensivas deberían verificar que el usuario tenga permisos de administrador o al menos de suscriptor. Esta función no hacía ninguna de las dos cosas (sí, en serio), lo que la dejó abierta a cualquier request HTTP.
Cómo verificar si tu WordPress está afectado
Tres pasos, menos de dos minutos:
- Andá a Panel de administración > Plugins > Plugins instalados
- Buscá «Kirki» en la lista (si no aparece, no tenés el plugin instalado y estás bien)
- Fijate la columna de versión: si dice 6.0.6 o cualquier número menor, está vulnerable
También podés ir directamente a Actualizaciones en el menú del Dashboard. Si Kirki aparece en la lista de plugins con actualización disponible, es porque está en una versión vieja.
Ojo: si usás un tema que incluye Kirki como librería interna (algunos frameworks de temas lo hacen), puede que el plugin no aparezca en la lista estándar. En ese caso, revisá la carpeta del tema via FTP o File Manager: buscá una carpeta llamada kirki dentro del directorio del tema y chequeá el archivo class-kirki.php o similar para ver la versión.
Solución: actualizar Kirki a 6.0.7 paso a paso
El parche está disponible desde el 18 de mayo de 2026. La actualización es directa:
- Desde el Dashboard: Panel > Actualizaciones > buscá Kirki en la lista de plugins > tildá el checkbox > «Actualizar plugins»
- Desde Plugins > Instalados: el aviso de «Nueva versión disponible. Actualizar ahora» aparece debajo del nombre del plugin
- Manual: descargá la versión 6.0.7 desde wordpress.org/plugins/kirki, subí via FTP sobreescribiendo la carpeta anterior
Si usás WP-CLI: wp plugin update kirki y listo.
Los cambios en 6.0.7 incluyen validación de rutas de archivo para bloquear secuencias de path traversal y la incorporación del capability check que faltaba en downloadZIP(). Son cambios quirúrgicos en API.php, no una reescritura del plugin, así que no deberían romper funcionalidad existente. Complementá con vulnerabilidades críticas recientes.
Medidas adicionales después de actualizar
Actualizar el plugin cierra el agujero, pero si el sitio estuvo expuesto durante días antes de que vos supieras de esta vulnerabilidad, vale la pena hacer un chequeo rápido.
Primero, revisá el contenido de /wp-content/uploads/: si hay archivos que no reconocés, especialmente ZIPs o scripts PHP, borrá y analizá. Segundo, si guardás backups dentro de uploads (WPVivid lo hace en /wp-content/uploads/wpvivid/ por defecto), cambiá la ubicación de almacenamiento a un directorio fuera del webroot o a almacenamiento externo, y rotá las credenciales que figuren en esos backups.
Wordfence detecta intentos de explotación de esta vulnerabilidad en su feed de amenazas. Si ya tenés Wordfence instalado, revisá los logs de las últimas 72 horas filtrando por requests a endpoints de Kirki. Un WAF (Web Application Firewall) como el de Wordfence Premium bloquea estos intentos incluso antes del parche, pero eso no reemplaza actualizar el plugin.
Para quien tenga el sitio en un hosting con panel de control como el de donweb.com, revisá si tienen reglas de firewall a nivel servidor que puedan complementar la protección a nivel aplicación.
Errores comunes al manejar esta vulnerabilidad
Desactivar Kirki sin actualizar
Desactivar el plugin no elimina los archivos del servidor. Si dejás Kirki instalado en versión 6.0.6 pero desactivado, el endpoint vulnerable puede seguir respondiendo peticiones según cómo esté configurado tu servidor. La solución es actualizar, no desactivar.
Asumir que «nadie sabe que tengo Kirki»
¿Alguien lo verificó de forma independiente? Exacto, no hace falta. Los scanners automáticos detectan Kirki por los archivos que expone en la instalación estándar. La «seguridad por oscuridad» no existe acá. En protegerse contra ataques DDoS profundizamos sobre esto.
No revisar temas que incluyen Kirki como dependencia
Varios frameworks de temas premium instalan Kirki como librería interna, fuera del directorio estándar de plugins. Si actualizaste el plugin desde el panel pero el tema tiene su propia copia de Kirki en una versión vieja, seguís expuesto. Chequeá la carpeta del tema.
Preguntas Frecuentes
¿Qué es CVE-2026-8073 en Kirki?
CVE-2026-8073 es una vulnerabilidad de tipo path traversal (CWE-23) en el plugin Kirki para WordPress, publicada el 19 de mayo de 2026. Afecta todas las versiones hasta la 6.0.6 y permite a cualquier usuario no autenticado leer y eliminar archivos dentro del directorio /wp-content/uploads/. Recibió una puntuación CVSS de 7.5 (Alta).
¿Cómo afecta esta vulnerabilidad a mi sitio WordPress?
Un atacante puede acceder y eliminar imágenes, PDFs, backups y cualquier archivo dentro de tu carpeta de uploads sin estar logueado. Si guardás backups de base de datos en esa carpeta, esos archivos también están expuestos. Los archivos fuera de uploads, como wp-config.php o los archivos de tema, no están en riesgo.
¿Cómo actualizo Kirki a la versión segura?
Andá a Panel de administración > Actualizaciones, buscá Kirki en la lista y actualizá a la versión 6.0.7, disponible desde el 18 de mayo de 2026. También podés hacerlo desde Plugins > Instalados o usando WP-CLI con wp plugin update kirki. La actualización tarda menos de un minuto y no debería afectar la funcionalidad del sitio.
¿Qué archivos pueden eliminar los atacantes con CVE-2026-8073?
Solo archivos dentro de /wp-content/uploads/: imágenes de posts, archivos adjuntos, PDFs descargables y backups almacenados en esa carpeta. La vulnerabilidad no permite acceso al código PHP del sitio, a wp-config.php, ni a la base de datos directamente. El impacto real depende de qué tan valiosos sean los archivos en esa carpeta.
¿Necesito desactivar Kirki ahora mismo?
No es necesario si podés actualizar de inmediato a la versión 6.0.7. Desactivar sin actualizar no resuelve el problema porque los archivos del plugin siguen en el servidor. Si por alguna razón no podés actualizar ahora, desactivar Y eliminar el plugin es mejor que solo desactivarlo.
Conclusión
CVE-2026-8073 es una vulnerabilidad real, con parche disponible desde el 18 de mayo de 2026 y con un vector de ataque que no pide nada especial al atacante. Con 500.000 instalaciones activas de Kirki, el universo de sitios expuestos es suficientemente grande como para que los scanners automáticos ya estén buscando targets.
La buena noticia es que la solución es concreta y directa: actualizar a 6.0.7 cierra el agujero. Si después de actualizar querés quedarte más tranquilo, revisá los logs de acceso de los últimos días y chequeá que no haya archivos raros en tu directorio de uploads. No es una situación de pánico, pero sí una de «hacelo hoy, no la próxima semana».