WordPress-сайты под атакой: критический баг в King Addons for Elementor
Главная » Новости

WordPress-сайты под атакой: критический баг в King Addons for Elementor

Екатерина Быстрова 03 Декабря 2025 - 10:17
...
WordPress-сайты под атакой: критический баг в King Addons for Elementor

В WordPress-сообществе новые волнения: по данным Wordfence, хакеры активно эксплуатируют критическую уязвимость в плагине King Addons for Elementor, установленном более чем на 10 тысяч сайтов. Проблема получила идентификатор CVE-2025-8489 и максимально возможный балл по CVSS — 9.8.

Уязвимость — классическое повышение привилегий. В плагине есть функция handle_register_ajax(), которая должна создавать аккаунты с минимальными правами (вроде «Подписчик»).

Но разработчики не добавили проверку роли, и плагин просто принимает всё, что пришло от пользователя.

Итог: любой неаутентифицированный юзер может отправить запрос с параметром user_role=administrator и сразу превратиться в администратора сайта — без проверок, без CAPTCHA, без авторизации.

Таймлайн выглядит так:

  • 25 сентября 2025 — выпуск патча;
  • 30 октября 2025 — раскрытие информации об уязвимости;
  • 31 октября 2025 — первые атаки.

С того дня поток попыток взлома резко вырос. По данным Wordfence, их файрвол уже заблокировал свыше 48 400 попыток эксплуатации. Доступ администратора в WordPress означает полный контроль над ресурсом. Злоумышленники могут:

  • загружать ZIP-файлы с произвольными инструментами и «закладками»,
  • менять контент сайта: подменять страницы, вставлять редиректы, размещать спам и фишинг,
  • устанавливать плагины и темы без ограничений.

Фактически любой сайт с уязвимой версией — лёгкая цель. Откуда идут атаки? Wordfence выделяет наиболее активные IP-адреса:

  • 45.61.157.120 — более 28 900 попыток
  • 2602:fa59:3:424::1 — более 16 900
  • 182.8.226.228
  • 138.199.21.230
  • 206.238.221.25

Проблема присутствует в версиях 24.12.92–51.1.14. Патч доступен в 51.1.35. Уязвимость уже массово эксплуатируется, поэтому откладывать обновление точно нельзя.

Напомним, месяц назад мы писали ещё об одной дыре в King Addons for Elementor: за 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Сталкер следовал советам ChatGPT: подкастера обвиняют в преследовании
Екатерина Быстрова 05 Декабря 2025 - 09:17
Кибербуллинг Домашние пользователиКорпорации
Сталкер следовал советам ChatGPT: подкастера обвиняют в преследовании

Министерство юстиции США обнародовало интересное дело: 31-летний подкастер Брэтт Майкл Дэдиг, называвший себя охотником за будущей женой, оказался обвинён в киберсталкинге, угрозах и преследовании женщин. По версии следствия, он не просто терроризировал более 10 женщин, но и будто бы консультировался с ChatGPT, который, по его словам, подталкивал его продолжать.

Дэдиг рассказывал в своих подкастах, что воспринимает чат-бота как «лучшего друга» и «психолога».

В обвинительном заключении приводятся его слова о том, что якобы ChatGPT убеждал его активнее постить видео с участием женщин, чтобы «создавать хейтеров» и зарабатывать на росте внимания. В одном из ответов, приведённых в документах, чат-бот будто бы говорил, что это «Божий план» и что Дэдиг должен «строить платформу» и «не растворяться в толпе людей».

Тем временем в реальности женщины сталкивались с куда менее возвышенными проявлениями сталкера. Следствие утверждает, что подкастер угрожал им физической расправой, выкладывал фотографии без согласия, публиковал жёсткие высказывания вплоть до намёков на убийство, а также нарушал предписанные судом меры. Когда ему закрывали доступ в один спортзал, он просто ехал в другой город и начинал всё заново.

Отдельные фрагменты его постов — вроде угроз сломать кому-то челюсть или сжечь фитнес-клуб — звучат особенно тревожно. В одном из эпизодов он даже стал упоминать детей своих жертв, утверждая, что это «его дочь». Женщины, по словам следствия, жили в состоянии постоянного напряжения, теряли сон, меняли рабочий график и переезжали, чтобы избежать возможных встреч.

Сейчас Дэдиг находится под стражей. Ему грозит до 70 лет тюрьмы и штраф до 3,5 млн долларов.

OpenAI уже пыталась смягчить «поддакивающий» характер моделей, но, судя по делу Дэдига, этих мер пока недостаточно. Специалисты всё чаще говорят о риске «психологических эхокамер», когда чат-бот невольно подталкивает человека к укреплению опасных убеждений.

Напомним, на днях OpenAI направила в суд свой первый развернутый ответ по одному из пяти исков о суициде пользователей, заявив, что 16-летний Адам Рейн нарушил правила использования ChatGPT и что его трагедия не была вызвана работой чат-бота.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Мошенники зовут россиян на фальшивые свидания через сайты-двойники
Новость
Мошенники зовут россиян на фальшивые свидания через сайты-дв...
Группа Akira заявила о взломе Apache OpenOffice и краже 23 ГБ данных
Новость
Группа Akira заявила о взломе Apache OpenOffice и краже 23 Г...
Банк России включит крупные переводы себе по СБП в перечень мошеннических
Новость
Банк России включит крупные переводы себе по СБП в перечень...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.