Dos plugins de WordPress con más de 700,000 instalaciones activas tienen vulnerabilidades críticas bajo explotación activa en junio de 2026: Kirki con CVE-2026-8206 (CVSS 9.8) y Burst Statistics con CVE-2026-8181 (CVSS 9.8), ambos con escalada de privilegios sin autenticación que permiten tomar control total de un sitio.
Kirki es un plugin de personalización para el WordPress Customizer con más de 500,000 instalaciones activas que extiende los controles de diseño disponibles en la interfaz nativa de WordPress. Burst Statistics es un plugin de analítica con dashboard propio que suma otros 200,000+ sitios. En las versiones vulnerables de ambos, cualquier persona sin cuenta en el sitio puede convertirse en administrador de WordPress sin interacción del dueño, sin credenciales robadas, sin nada.
En 30 segundos
- Kirki CVE-2026-8206 (CVSS 9.8): versiones 6.0.0 a 6.0.6 permiten takeover de cuentas admin sin autenticación via el flujo de reseteo de contraseña. Parchado en 6.0.7.
- Burst Statistics CVE-2026-8181 (CVSS 9.8): versiones 3.4.0 a 3.4.1.1 tienen un bypass de autenticación crítico via REST API que permite crear cuentas admin enviando credenciales aleatorias en el header Authorization. Wordfence detectó explotación activa el 8 de mayo de 2026; el parche llegó el 12 de mayo. Parchado en 3.4.2.
- Alcance real: Kirki en 500,000+ sitios (150,000 en versiones vulnerables); Burst Statistics en 200,000+. Total estimado: más de 350,000 sitios expuestos.
- Ataques confirmados: Defiant/Wordfence bloqueó miles de intentos de exploit en menos de 24 horas desde la divulgación pública; solo para Burst Statistics, se documentaron más de 7.400 ataques bloqueados en las primeras 24 horas.
- Acción inmediata: actualizá a Kirki 6.0.7+ y Burst Statistics 3.4.2+. Si no los usás, desinstalalos.
¿Cuáles son las vulnerabilidades críticas en Kirki y Burst Statistics?
Ponele que hoy a la mañana abrís el panel de tu WordPress y ves un usuario administrador que no creaste vos, con un email que no reconocés. Eso es exactamente lo que Defiant, la empresa detrás de Wordfence, empezó a documentar en sitios que corrían versiones vulnerables de estos dos plugins.
Las vulnerabilidades de Kirki y Burst Statistics que vienen generando alertas desde finales de mayo no son un fallo teórico. Según el reporte oficial de Wordfence, CVE-2026-8206 afecta el flujo de reseteo de contraseñas de Kirki con un CVSS de 9.8. CVE-2026-8181 hace lo mismo en Burst Statistics mediante un bypass de autenticación, llegando también a 9.8. En la escala de criticidad de vulnerabilidades, 9.8 significa «apagá el incendio ahora», no «agendalo para el sprint de seguridad».
Lo que los hace especialmente peligrosos es la combinación: no requieren autenticación previa y no requieren ninguna interacción del dueño del sitio. Son exploits silenciosos desde el punto de vista del administrador (a menos que estés mirando los logs en tiempo real, y seamos honestos, casi nadie lo hace). Defiant detectó miles de intentos de explotación activa en las primeras 24 horas después de la divulgación pública. Tal como explicamos en nuestra guía CVE.
¿Qué versiones de Kirki y Burst Statistics están afectadas?
| Plugin | Versiones vulnerables | Versión segura | Fecha del parche | CVE | CVSS |
|---|---|---|---|---|---|
| Kirki | 6.0.0 a 6.0.6 | 6.0.7 o superior | Disponible | CVE-2026-8206 | 9.8 (Crítico) |
| Burst Statistics | 3.4.0 a 3.4.1.1 | 3.4.2 o superior | 12 de mayo de 2026 | CVE-2026-8181 | 9.8 (Crítico) |
Un dato que no hay que pasar por alto: aproximadamente el 30% de los usuarios de Kirki todavía corrían versiones vulnerables al momento de la divulgación pública. Si tenés el plugin instalado y no lo actualizás seguido, hay chances concretas de estar en ese grupo.
Ojo: un plugin inactivo no es lo mismo que un plugin desinstalado. El código sigue en el servidor y, en el caso de Kirki, el endpoint REST puede seguir respondiendo aunque el plugin esté marcado como desactivado en el panel de WordPress.
¿Cuántos sitios WordPress están en riesgo real?
Según SecurityWeek, Kirki tiene más de 500,000 instalaciones activas, con aproximadamente 150,000 en versiones vulnerables al momento de publicarse la alerta. Burst Statistics suma otros 200,000+ sitios potencialmente comprometidos. En total, más de 350,000 sitios WordPress tuvieron una puerta abierta durante al menos dos semanas.
Esto incluye sitios en toda Latinoamérica, donde WordPress tiene una penetración enorme entre pequeñas empresas, tiendas WooCommerce y blogs. Si corrés un sitio para un cliente que usaba alguno de estos plugins y no lo actualizaste a tiempo, el período de riesgo ya pasó, pero conviene revisar el historial de accesos de todas formas.
¿Cómo funciona el ataque de escalada de privilegios en Kirki?
El mecanismo vale entenderlo, porque explica por qué el CVSS llegó a 9.8 y no a algo más manejable como 7.0. Lo explicamos a fondo en nuestra guía sobre implementar un WAF como capa protectora.
El fallo vive en el flujo de reseteo de contraseñas del plugin. El flujo normal sería: usuario pide reseteo, sistema verifica que el email corresponde a esa cuenta, manda el link al email registrado. El problema es que el mecanismo acepta un nombre de usuario y un email como parámetros separados, sin verificar que ese email pertenezca al usuario indicado. Entonces el atacante envía una solicitud con el username «admin» y su propio email como destino, WordPress genera un link válido de reseteo para la cuenta admin y lo manda al email del atacante, el atacante hace clic, establece una contraseña nueva, y entra como administrador del sitio (spoiler: con acceso a todo).
¿Y cuánta interacción necesita del dueño del sitio? Ninguna. El admin nunca recibe una alerta que tenga sentido, no aprueba nada, no hace clic en nada sospechoso.
Una vez dentro, el alcance del daño potencial es total: instalación de plugins con backdoors, exfiltración de datos de clientes o desfiguración del sitio. No hay limitación técnica porque el atacante tiene credenciales de administrador legítimas.
¿Cómo funciona el ataque de bypass de autenticación en Burst Statistics?
El vector es diferente al de Kirki pero el resultado es idéntico: acceso de administrador sin tener ninguna credencial. Wordfence detectó explotación activa el 8 de mayo de 2026; el parche no llegó hasta el 12 de mayo, lo que dejó una ventana de cuatro días con ataques ya en curso.
El ataque apunta al endpoint REST /wp-json/wp/v2/users. El atacante envía una solicitud HTTP con un header de autenticación Basic que contiene credenciales completamente aleatorias, sin necesidad de conocer ningún dato real del sitio. El problema está en la función is_mainwp_authenticated() del plugin: cuando recibe una solicitud, intenta validar si las credenciales corresponden a una conexión MainWP legítima. Internamente llama a wp_authenticate_application_password(), que falla, pero en lugar de retornar un error que detenga el proceso, la función retorna sin indicar el fallo. El código que la llama interpreta ese silencio como autenticación exitosa y crea la cuenta de administrador.
Lo que hace este fallo especialmente grave, más allá del CVSS 9.8, es que es completamente automatizable: un script puede probar miles de sitios WordPress en minutos, identificar los que corren Burst Statistics en versión vulnerable y crear cuentas admin en todos ellos sin esfuerzo ni conocimiento previo del objetivo. Eso explica los más de 7.400 ataques bloqueados por Wordfence en las primeras 24 horas de divulgación pública, solo para este plugin.
¿Cómo verificar si tu sitio WordPress tiene estas vulnerabilidades?
- Ir a Dashboard → Plugins. Buscá «Kirki» y «Burst Statistics» en la lista completa, incluyendo plugins inactivos.
- Verificar la versión instalada. Si Kirki aparece como 6.0.0 a 6.0.6, o Burst Statistics como 3.4.0 a 3.4.1.1, el sitio estuvo expuesto.
- Revisar usuarios admin. Andá a Usuarios → Todos los usuarios, filtrá por «Administrador». Si hay cuentas que no reconocés (y si las hay, no las borres todavía, primero documentá todo), es una señal de alarma.
- Escanear con Wordfence Security. La versión gratuita detecta plugins con CVEs conocidos y muestra archivos del sitio modificados recientemente.
- Buscar requests sospechosos en los logs. Si tenés Wordfence activo, revisá el historial por requests al endpoint REST de reseteo de contraseñas de Kirki y al endpoint
/wp-json/wp/v2/usersde Burst Statistics desde IPs desconocidas.
Si actualizaste hoy pero Kirki 6.0.6 estuvo instalado durante las últimas semanas, el parche cierra la vulnerabilidad hacia el futuro, pero no limpia lo que pudo haber entrado antes. Tema relacionado: protección contra ataques DDoS coordinados.
¿Cómo actualizar y parchear estas vulnerabilidades inmediatamente?
- Hacé un backup completo primero. Base de datos y archivos. Si tu hosting tiene backups automáticos, como los que incluye donweb.com en sus planes WordPress administrado, verificá que el último sea de las últimas horas.
- Actualizá Kirki a 6.0.7 o superior. Dashboard → Plugins → Actualizaciones disponibles → «Actualizar ahora». Si no lo usás, desinstalalo.
- Actualizá Burst Statistics a 3.4.2 o superior. Mismo proceso. Si no lo necesitás para analítica, desinstalarlo es la opción más limpia.
- Verificá que el sitio funcione. Revisá el front-end, el Customizer si usabas Kirki, el dashboard de analítica si usabas Burst Statistics.
- Chequeá el log de PHP. Para sitios con configuraciones muy personalizadas de Kirki, una actualización mayor puede traer alguna incompatibilidad menor con el tema.
Si tenés actualizaciones automáticas de plugins activadas, revisá de todas formas que ya estés en la versión parchada. Algunos setups tienen plugins específicos excluidos de las actualizaciones automáticas, y no siempre es obvio cuáles.
¿Qué protecciones adicionales activar después de actualizar?
- Activá Wordfence con el firewall habilitado. La versión gratuita bloquea requests contra CVEs documentados, incluyendo intentos de exploit contra estos dos plugins.
- Cambiá la contraseña de todos los usuarios admin. Si el sitio estuvo expuesto, esta acción no es opcional.
- Activá 2FA en cuentas admin. Wordfence tiene autenticación de dos factores integrada. Con 2FA activo, incluso si alguien logra un reset de contraseña, no puede entrar sin el segundo factor.
- Revisá la auditoría de logins en Wordfence. Wordfence → Herramientas → buscá accesos desde IPs que no reconocés en las últimas dos o tres semanas.
- Considerá restringir la REST API. Si no necesitás
/wp-json/en acceso público, podés bloquearlo para usuarios no autenticados desde el firewall de Wordfence o con un snippet de código. - Configurá alertas de email. Wordfence puede avisarte cuando hay cambios en usuarios admin o intentos de login fallidos repetidos desde una misma IP.
Errores comunes al manejar estas vulnerabilidades
Desactivar el plugin en vez de actualizarlo o desinstalarlo. Un plugin desactivado sigue teniendo código en el servidor. En el caso de Kirki, el endpoint REST puede seguir respondiendo aunque el plugin esté marcado como inactivo en el panel, lo que mantiene el vector de ataque abierto.
Actualizar y asumir que el sitio está limpio. El parche cierra la puerta para el futuro, no limpia lo que pudo haber entrado antes. Si Kirki 6.0.6 estuvo activo durante semanas, conviene hacer un escaneo de archivos modificados recientemente y revisar la lista de usuarios admin con cuentas que no reconocés.
Ignorar plugins inactivos en la revisión. La mayoría de los administradores de WordPress tienen dos o tres plugins instalados sin usar que nunca actualizan. Son vectores silenciosos que no aparecen en el dashboard de actualizaciones pendientes si nunca los chequeás. Relacionado: alternativas más seguras para formularios.
Preguntas Frecuentes
¿Mi WordPress está afectado por la vulnerabilidad de Kirki?
Sí, si tenés Kirki instalado en cualquier versión entre 6.0.0 y 6.0.6, incluyendo instancias inactivas. La versión 6.0.7 incluye el parche para CVE-2026-8206. Verificá la versión en Dashboard → Plugins. Si no usás Kirki para nada, la opción más segura es desinstalarlo por completo.
¿Cuál es la versión segura de Burst Statistics?
La versión 3.4.2 corrige CVE-2026-8181 (CVSS 9.8), disponible desde el 12 de mayo de 2026. Cualquier versión entre 3.4.0 y 3.4.1.1 es vulnerable al bypass de autenticación via REST API. Actualizá desde Plugins → Actualizaciones disponibles. Si no usás este plugin para analítica, desinstalarlo es la alternativa más limpia.
¿Qué permite hacer la vulnerabilidad CVE-2026-8206 de Kirki?
CVE-2026-8206 permite a cualquier atacante sin cuenta en el sitio tomar el control de cualquier usuario WordPress, incluyendo cuentas admin. El fallo está en el flujo de reseteo de contraseña del plugin, que acepta un email controlado por el atacante como destino del link de reseteo. Con ese link, el atacante establece una nueva contraseña para el admin y obtiene acceso total al sitio sin interacción del dueño.
¿Cuántos sitios WordPress están en riesgo por estas vulnerabilidades?
Kirki tiene más de 500,000 instalaciones activas, con aproximadamente 150,000 corriendo versiones vulnerables al momento de la divulgación. Burst Statistics suma otros 200,000+ sitios potencialmente expuestos. Entre ambos plugins, el alcance supera los 350,000 sitios WordPress a nivel mundial.
¿Cómo actualizar Kirki a la versión parchada sin romper el sitio?
Antes de actualizar, hacé un backup completo de base de datos y archivos. Luego andá a Plugins → Actualizaciones disponibles y actualizá Kirki a 6.0.7 o superior. Después probá el Customizer y las páginas que usaban controles de Kirki para confirmar que no haya errores de compatibilidad con el tema. Si el plugin no es esencial para el diseño del sitio, desinstalarlo es la opción más segura a largo plazo.
Conclusión
Las vulnerabilidades de Kirki y Burst Statistics que salieron a la luz en junio de 2026 tienen números que no dejan margen: CVSS 9.8 en ambos casos, más de 350,000 sitios expuestos, exploits activos en las primeras 24 horas. No es un «hay que revisarlo cuando haya tiempo».
Lo que hace incómodo este caso es que ambos son plugins legítimos y populares, no software oscuro que nadie instalaría con cuidado. Kirki lo usó mucha gente para personalizar temas, Burst Statistics como alternativa «liviana» a Google Analytics. El riesgo vino de funcionalidades que nadie relacionaría instintivamente con un vector de ataque: un reset de contraseña y una pantalla de métricas de tráfico.
La acción es directa: actualizá Kirki a 6.0.7 y Burst Statistics a 3.4.2 ahora. Revisá la lista de usuarios admin, activá 2FA y, si alguno de estos plugins no lo usás, desinstalalo. Mantener plugins sin usar es el tipo de deuda técnica que termina saliendo cara.
Fuentes
- Wordfence – Unauthenticated Privilege Escalation Patched in Kirki WordPress Plugin
- Wordfence – 200,000 WordPress Sites at Risk from Burst Statistics Authentication Bypass
- SecurityWeek – Kirki, Burst Statistics WordPress Plugin Flaws in Attackers’ Crosshairs
- BleepingComputer – Critical Kirki Flaw Exploited to Hijack WordPress Admin Accounts
- WPScan – Burst Statistics Plugin Vulnerability Database