Uma vulnerabilidade crítica de escalonamento de privilégios (
CVE-2025-8489
) no plugin King Addons for Elementor, popular em sites WordPress, está sendo explorada ativamente por hackers.
A falha permite que invasores obtenham permissões administrativas já no momento do registro.
Os ataques começaram em 31 de outubro, um dia após a vulnerabilidade ser tornada pública.
O scanner de segurança Wordfence, da empresa Defiant, especializada na proteção de sites WordPress, bloqueou mais de 48 mil tentativas de exploração até o momento.
O King Addons é um plugin complementar ao Elementor, construtor visual amplamente utilizado em cerca de 10 mil sites.
Ele oferece widgets, templates e funcionalidades adicionais aos usuários.
A falha, descoberta pelo pesquisador Peter Thaleikis, está no mecanismo de registro do plugin.
Ela permite que qualquer usuário defina seu próprio nível de acesso, inclusive o papel de administrador, sem restrições.
Segundo análise da Wordfence, os invasores enviam requisições manipuladas para o arquivo ‘admin-ajax.php’, definindo o parâmetro ‘user_role=administrator’, o que cria contas falsas de administrador nos sites atacados.
O pico de tentativas ocorreu entre 9 e 10 de novembro, com destaque para os IPs 45.61.157.120 (28.900 tentativas) e 2602:fa59:3:424::1 (16.900 tentativas).
A Wordfence divulgou uma lista mais completa de endereços IP ofensivos e recomenda que administradores monitorem seus arquivos de log em busca dessas conexões.
O surgimento de novas contas administrativas não autorizadas é um indicativo claro de comprometimento.
Para mitigar o risco, os responsáveis pelos sites devem atualizar o King Addons para a versão 51.1.35, lançada em 25 de setembro, que corrige a vulnerabilidade.
Além disso, a equipe do Wordfence alerta para outra falha crítica, desta vez no plugin Advanced Custom Fields: Extended, instalado em mais de 100 mil sites WordPress.
Essa vulnerabilidade, identificada como
CVE-2025-13486
, permite a execução remota de código por usuários não autenticados.
A falha afeta as versões entre 0.9.0.5 e 0.9.1.1, e foi reportada pelo especialista Marcin Dudek, chefe do CERT nacional da Polônia.
O problema ocorre porque o plugin aceita entrada de usuários e a encaminha para a função call_user_func_array(), o que possibilita a execução de comandos arbitrários no servidor.
Isso permite que invasores implantem backdoors ou criem contas administrativas sem autorização.
O problema foi reportado em 18 de novembro e uma correção foi liberada na versão 0.9.2, no dia seguinte à denúncia.
Como a exploração ocorre sem necessidade de autenticação, apenas através de requisições manipuladas, a divulgação técnica pública pode incentivar ataques em larga escala.
Diante disso, recomenda-se que administradores atualizem imediatamente para a versão mais recente do Advanced Custom Fields: Extended ou desativem o plugin até garantirem sua segurança.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...