WordPress-сайты под атакой: критический баг в King Addons for Elementor

WordPress-сайты под атакой: критический баг в King Addons for Elementor

WordPress-сайты под атакой: критический баг в King Addons for Elementor

В WordPress-сообществе новые волнения: по данным Wordfence, хакеры активно эксплуатируют критическую уязвимость в плагине King Addons for Elementor, установленном более чем на 10 тысяч сайтов. Проблема получила идентификатор CVE-2025-8489 и максимально возможный балл по CVSS — 9.8.

Уязвимость — классическое повышение привилегий. В плагине есть функция handle_register_ajax(), которая должна создавать аккаунты с минимальными правами (вроде «Подписчик»).

Но разработчики не добавили проверку роли, и плагин просто принимает всё, что пришло от пользователя.

Итог: любой неаутентифицированный юзер может отправить запрос с параметром user_role=administrator и сразу превратиться в администратора сайта — без проверок, без CAPTCHA, без авторизации.

Таймлайн выглядит так:

  • 25 сентября 2025 — выпуск патча;
  • 30 октября 2025 — раскрытие информации об уязвимости;
  • 31 октября 2025 — первые атаки.

С того дня поток попыток взлома резко вырос. По данным Wordfence, их файрвол уже заблокировал свыше 48 400 попыток эксплуатации. Доступ администратора в WordPress означает полный контроль над ресурсом. Злоумышленники могут:

  • загружать ZIP-файлы с произвольными инструментами и «закладками»,
  • менять контент сайта: подменять страницы, вставлять редиректы, размещать спам и фишинг,
  • устанавливать плагины и темы без ограничений.

Фактически любой сайт с уязвимой версией — лёгкая цель. Откуда идут атаки? Wordfence выделяет наиболее активные IP-адреса:

  • 45.61.157.120 — более 28 900 попыток
  • 2602:fa59:3:424::1 — более 16 900
  • 182.8.226.228
  • 138.199.21.230
  • 206.238.221.25

Проблема присутствует в версиях 24.12.92–51.1.14. Патч доступен в 51.1.35. Уязвимость уже массово эксплуатируется, поэтому откладывать обновление точно нельзя.

Напомним, месяц назад мы писали ещё об одной дыре в King Addons for Elementor: за 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта.

В Иркутской области школьника удалили с ЕГЭ за умные очки с камерой

В Иркутской области выпускник решил зайти на ЕГЭ с технологическим апгрейдом и быстро пожалел об этом. Школьника удалили с экзамена после того, как наблюдатели заметили камеру в его умных очках.

Об этом сообщает телеграм-канал Baza. По данным издания, одиннадцатиклассник пришел на экзамен в очках, которые внешне выглядели как обычная оптика.

Однако наблюдатели, контролировавшие проведение ЕГЭ, заметили встроенную камеру. После этого у школьника забрали бланки, работу аннулировали, а самого выпускника вывели из аудитории.

Официальной причиной удаления указали использование средств связи. Для ЕГЭ это жесткое нарушение: на экзамене запрещены телефоны, умные устройства, камеры, наушники и любые гаджеты, которые могут использоваться для передачи или получения информации.

Самое неприятное для выпускника — пересдать экзамен он сможет только в следующем году.

В региональной комиссии этот случай уже назвали одним из самых технологичных за всю историю проведения ЕГЭ в Иркутской области.

История показывает, что экзаменационные аудитории постепенно превращаются в поле боя не только со шпаргалками, но и с носимыми гаджетами. Если раньше наблюдатели искали телефоны в карманах и записки в рукавах, теперь приходится внимательно смотреть даже на очки.

RSS: Новости на портале Anti-Malware.ru