WordPress-сайты под атакой: критический баг в King Addons for Elementor

В WordPress-сообществе новые волнения: по данным Wordfence, хакеры активно эксплуатируют критическую уязвимость в плагине King Addons for Elementor, установленном более чем на 10 тысяч сайтов. Проблема получила идентификатор CVE-2025-8489 и максимально возможный балл по CVSS — 9.8.

Уязвимость — классическое повышение привилегий. В плагине есть функция handle_register_ajax(), которая должна создавать аккаунты с минимальными правами (вроде «Подписчик»).

Но разработчики не добавили проверку роли, и плагин просто принимает всё, что пришло от пользователя.

Итог: любой неаутентифицированный юзер может отправить запрос с параметром user_role=administrator и сразу превратиться в администратора сайта — без проверок, без CAPTCHA, без авторизации.

Таймлайн выглядит так:

• 25 сентября 2025 — выпуск патча;
• 30 октября 2025 — раскрытие информации об уязвимости;
• 31 октября 2025 — первые атаки.

С того дня поток попыток взлома резко вырос. По данным Wordfence, их файрвол уже заблокировал свыше 48 400 попыток эксплуатации. Доступ администратора в WordPress означает полный контроль над ресурсом. Злоумышленники могут:

• загружать ZIP-файлы с произвольными инструментами и «закладками»,
• менять контент сайта: подменять страницы, вставлять редиректы, размещать спам и фишинг,
• устанавливать плагины и темы без ограничений.

Фактически любой сайт с уязвимой версией — лёгкая цель. Откуда идут атаки? Wordfence выделяет наиболее активные IP-адреса:

• 45.61.157.120 — более 28 900 попыток
• 2602:fa59:3:424::1 — более 16 900
• 182.8.226.228
• 138.199.21.230
• 206.238.221.25

Проблема присутствует в версиях 24.12.92–51.1.14. Патч доступен в 51.1.35. Уязвимость уже массово эксплуатируется, поэтому откладывать обновление точно нельзя.

Напомним, месяц назад мы писали ещё об одной дыре в King Addons for Elementor: за 24 часа защитные решения Wordfence заблокировали 162 попытки эксплойта.