WordPress-сайты под атакой: критический баг в King Addons for Elementor

WordPress-сайты под атакой: критический баг в King Addons for Elementor

WordPress-сайты под атакой: критический баг в King Addons for Elementor

В WordPress-сообществе новые волнения: по данным Wordfence, хакеры активно эксплуатируют критическую уязвимость в плагине King Addons for Elementor, установленном более чем на 10 тысяч сайтов. Проблема получила идентификатор CVE-2025-8489 и максимально возможный балл по CVSS — 9.8.

Уязвимость — классическое повышение привилегий. В плагине есть функция handle_register_ajax(), которая должна создавать аккаунты с минимальными правами (вроде «Подписчик»).

Но разработчики не добавили проверку роли, и плагин просто принимает всё, что пришло от пользователя.

Итог: любой неаутентифицированный юзер может отправить запрос с параметром user_role=administrator и сразу превратиться в администратора сайта — без проверок, без CAPTCHA, без авторизации.

Таймлайн выглядит так:

  • 25 сентября 2025 — выпуск патча;
  • 30 октября 2025 — раскрытие информации об уязвимости;
  • 31 октября 2025 — первые атаки.

С того дня поток попыток взлома резко вырос. По данным Wordfence, их файрвол уже заблокировал свыше 48 400 попыток эксплуатации. Доступ администратора в WordPress означает полный контроль над ресурсом. Злоумышленники могут:

  • загружать ZIP-файлы с произвольными инструментами и «закладками»,
  • менять контент сайта: подменять страницы, вставлять редиректы, размещать спам и фишинг,
  • устанавливать плагины и темы без ограничений.

Фактически любой сайт с уязвимой версией — лёгкая цель. Откуда идут атаки? Wordfence выделяет наиболее активные IP-адреса:

  • 45.61.157.120 — более 28 900 попыток
  • 2602:fa59:3:424::1 — более 16 900
  • 182.8.226.228
  • 138.199.21.230
  • 206.238.221.25

Проблема присутствует в версиях 24.12.92–51.1.14. Патч доступен в 51.1.35. Уязвимость уже массово эксплуатируется, поэтому откладывать обновление точно нельзя.

Напомним, месяц назад мы писали ещё об одной дыре в King Addons for Elementor: за 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта.

Россия выиграла Международную олимпиаду по кибербезопасности в Тунисе

Российская сборная взяла главный приз на Международной олимпиаде по кибербезопасности ICO, которая проходила в Тунисе с 27 июня по 2 июля. Команда завоевала четыре медали и стала абсолютным чемпионом соревнований. А один из участников сборной — Даниил Мелехов из московской Школы Центра педагогического мастерства — стал абсолютным победителем в индивидуальном зачете.

В финале российские школьники соревновались с 70 участниками из 19 стран, включая Китай, США, Бразилию, Италию, Сингапур, Швецию, Гонконг и Тунис.

Итог для сборной вышел мощным: золото получили Даниил Мелехов и Николай Белоусов, серебро — Артём Румянцев, бронзу — Роман Черемных.

 

Финал ICO состоял из двух туров по семь часов. Участникам пришлось решать комплексные задачи по веб-безопасности, анализу уязвимостей и другим направлениям практической кибербезопасности. Задания были приближены к реальным сценариям, так что это была полноценная проверка навыков.

Правила тоже были жёсткими: сторонние нейросети и мессенджеры использовать было нельзя. Участникам дали только ограниченный доступ к локальной модели ChatGPT-5.5-mini с лимитированными ресурсами.

 

Состав сборной определили по итогам многоэтапного отбора. Сначала заявки подали более 700 школьников, затем 56 лучших прошли в очный финал, где решали задачи без интернета, анализировали инциденты и участвовали в командном соревновании формата «защищай свое — атакуй чужое».

Готовили команду эксперты Центрального университета и «Лаборатории Касперского». Подготовка включала технические интервью, персональные планы занятий и промежуточную аттестацию.

Победа стала для российской сборной второй подряд на мировой арене ICO. И выглядит это довольно убедительно: пока взрослые спорят о кадровом голоде в ИБ, школьники уже показывают уровень, с которым можно выигрывать международные киберсоревнования.

RSS: Новости на портале Anti-Malware.ru