Специалисты по кибербезопасности из Wordfence зафиксировали активную эксплуатацию критической уязвимости в популярном плагине WordPress под названием King Addons for Elementor. Данное программное обеспечение установлено более чем на 10 000 веб-сайтов. Злоумышленники используют брешь в защите для создания учетных записей с правами администратора, что позволяет им получить полный контроль над ресурсом без прохождения аутентификации.
Уязвимости присвоен идентификатор CVE-2025-8489, а её степень опасности оценена в максимальные 9.8 балла по шкале CVSS, что классифицирует её как критическую. Проблема описывается как повышение привилегий без аутентификации (Unauthenticated Privilege Escalation). Честь обнаружения данной бреши принадлежит исследователю безопасности Питеру Талейкису (Peter Thaleikis), который выявил недостатки в механизмах регистрации пользователей плагина.
Техническая причина уязвимости кроется в небезопасной реализации функции
Проблема затрагивает широкий диапазон версий King Addons for Elementor, начиная с версии 24.12.92 и заканчивая версией 51.1.14. Исправление безопасности было выпущено разработчиками 25 сентября 2025 года в версии 51.1.35. Администраторам сайтов необходимо убедиться, что их программное обеспечение обновлено до этой или более поздней версии, чтобы закрыть возможность для атаки.
Хронология событий показывает значительный разрыв между выпуском патча и началом массовых атак. Хотя исправление вышло 25 сентября 2025 года, публичное раскрытие информации об уязвимости произошло в конце октября 2025 года. Первые попытки целевой эксплуатации были замечены 31 октября 2025 года, а старт массовых атак пришелся на 9 ноября 2025 года. С момента раскрытия информации Wordfence заблокировал более 48 400 попыток взлома, при этом только за последние 24 часа было предотвращено 75 атак.
В ходе анализа атак были идентифицированы конкретные IP-адреса, с которых злоумышленники проводят сканирование и эксплуатацию уязвимости. В список подозрительных адресов вошли: 61.157.120, 182.8.226.228, 138.199.21.230, 206.238.221.25, а также IPv6-адрес 2602:fa59:3:424::1. Блокировка этих адресов на уровне сетевого экрана может служить временной мерой защиты до обновления плагина.
Успешная эксплуатация CVE-2025-8489 ведет к полной компрометации веб-сайта. Получив права администратора, хакеры могут загружать вредоносный код и программное обеспечение, внедрять спам-контент и настраивать перенаправление посетителей на мошеннические или опасные ресурсы. Фактически владелец сайта полностью теряет контроль над содержимым и функциональностью своего ресурса.
Для защиты своих ресурсов администраторам необходимо немедленно обновить плагин King Addons for Elementor до последней безопасной версии. Кроме того, критически важно провести аудит всех зарегистрированных пользователей с правами администратора, чтобы выявить и удалить подозрительные учетные записи, которые могли быть созданы злоумышленниками. Рекомендуется также усилить мониторинг логов системы на предмет признаков аномальной активности.
Изображение носит иллюстративный характер
Уязвимости присвоен идентификатор CVE-2025-8489, а её степень опасности оценена в максимальные 9.8 балла по шкале CVSS, что классифицирует её как критическую. Проблема описывается как повышение привилегий без аутентификации (Unauthenticated Privilege Escalation). Честь обнаружения данной бреши принадлежит исследователю безопасности Питеру Талейкису (Peter Thaleikis), который выявил недостатки в механизмах регистрации пользователей плагина.
Техническая причина уязвимости кроется в небезопасной реализации функции
handle_register_ajax(), которая вызывается в процессе регистрации пользователей. Разработчики плагина не предусмотрели надлежащее ограничение ролей в этой функции. В результате злоумышленники могут отправить специально сформированный HTTP-запрос на конечную точку /wp-admin/admin-ajax.php, указав в параметрах желаемую роль «administrator». Поскольку проверка прав отсутствует, система автоматически создает пользователя с полным административным доступом. Проблема затрагивает широкий диапазон версий King Addons for Elementor, начиная с версии 24.12.92 и заканчивая версией 51.1.14. Исправление безопасности было выпущено разработчиками 25 сентября 2025 года в версии 51.1.35. Администраторам сайтов необходимо убедиться, что их программное обеспечение обновлено до этой или более поздней версии, чтобы закрыть возможность для атаки.
Хронология событий показывает значительный разрыв между выпуском патча и началом массовых атак. Хотя исправление вышло 25 сентября 2025 года, публичное раскрытие информации об уязвимости произошло в конце октября 2025 года. Первые попытки целевой эксплуатации были замечены 31 октября 2025 года, а старт массовых атак пришелся на 9 ноября 2025 года. С момента раскрытия информации Wordfence заблокировал более 48 400 попыток взлома, при этом только за последние 24 часа было предотвращено 75 атак.
В ходе анализа атак были идентифицированы конкретные IP-адреса, с которых злоумышленники проводят сканирование и эксплуатацию уязвимости. В список подозрительных адресов вошли: 61.157.120, 182.8.226.228, 138.199.21.230, 206.238.221.25, а также IPv6-адрес 2602:fa59:3:424::1. Блокировка этих адресов на уровне сетевого экрана может служить временной мерой защиты до обновления плагина.
Успешная эксплуатация CVE-2025-8489 ведет к полной компрометации веб-сайта. Получив права администратора, хакеры могут загружать вредоносный код и программное обеспечение, внедрять спам-контент и настраивать перенаправление посетителей на мошеннические или опасные ресурсы. Фактически владелец сайта полностью теряет контроль над содержимым и функциональностью своего ресурса.
Для защиты своих ресурсов администраторам необходимо немедленно обновить плагин King Addons for Elementor до последней безопасной версии. Кроме того, критически важно провести аудит всех зарегистрированных пользователей с правами администратора, чтобы выявить и удалить подозрительные учетные записи, которые могли быть созданы злоумышленниками. Рекомендуется также усилить мониторинг логов системы на предмет признаков аномальной активности.
