В WordPress-сообществе новые волнения: по данным Wordfence, хакеры активно эксплуатируют критическую уязвимость в плагине King Addons for Elementor, установленном более чем на 10 тысяч сайтов. Проблема получила идентификатор CVE-2025-8489 и максимально возможный балл по CVSS — 9.8.
Уязвимость — классическое повышение привилегий. В плагине есть функция handle_register_ajax(), которая должна создавать аккаунты с минимальными правами (вроде «Подписчик»).
Но разработчики не добавили проверку роли, и плагин просто принимает всё, что пришло от пользователя.
Итог: любой неаутентифицированный юзер может отправить запрос с параметром user_role=administrator и сразу превратиться в администратора сайта — без проверок, без CAPTCHA, без авторизации.
Таймлайн выглядит так:
- 25 сентября 2025 — выпуск патча;
- 30 октября 2025 — раскрытие информации об уязвимости;
- 31 октября 2025 — первые атаки.
С того дня поток попыток взлома резко вырос. По данным Wordfence, их файрвол уже заблокировал свыше 48 400 попыток эксплуатации. Доступ администратора в WordPress означает полный контроль над ресурсом. Злоумышленники могут:
- загружать ZIP-файлы с произвольными инструментами и «закладками»,
- менять контент сайта: подменять страницы, вставлять редиректы, размещать спам и фишинг,
- устанавливать плагины и темы без ограничений.
Фактически любой сайт с уязвимой версией — лёгкая цель. Откуда идут атаки? Wordfence выделяет наиболее активные IP-адреса:
- 45.61.157.120 — более 28 900 попыток
- 2602:fa59:3:424::1 — более 16 900
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
Проблема присутствует в версиях 24.12.92–51.1.14. Патч доступен в 51.1.35. Уязвимость уже массово эксплуатируется, поэтому откладывать обновление точно нельзя.
Напомним, месяц назад мы писали ещё об одной дыре в King Addons for Elementor: за 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта.
