Uma falha crítica de segurança no plugin King Addons para Elementor, amplamente utilizado em sites WordPress, está sendo explorada ativamente por atacantes.
Identificada como
CVE-2025-8489
, com uma pontuação CVSS de 9,8, essa vulnerabilidade permite elevação de privilégios.
Invasores não autenticados conseguem se conceder permissões administrativas simplesmente ao especificar a função de administrador durante o cadastro de usuário.
O problema afeta versões do plugin entre 24.12.92 e 51.1.14.
A correção foi disponibilizada na versão 51.1.35, lançada em 25 de setembro de 2025.
A descoberta e o reporte da falha são creditados ao pesquisador de segurança Peter Thaleikis.
O plugin possui mais de 10 mil instalações ativas.
Segundo a empresa Wordfence, “o erro ocorre porque o plugin não restringe adequadamente os papéis (roles) que os usuários podem escolher ao se registrar”.
Isso possibilita que invasores não autenticados efetuem cadastros com contas administrativas.
Tecnicamente, a falha está na função “handle_register_ajax()”, executada durante o processo de registro.
Uma implementação insegura dessa função permite que invasores enviem requisições HTTP manipuladas ao endpoint “/wp-admin/admin-ajax.php” com o papel “administrator”, obtendo privilégios elevados.
Se explorada com sucesso, a vulnerabilidade pode levar ao controle total do site vulnerável, possibilitando o upload de códigos maliciosos para distribuição de malware, redirecionamento de visitantes para sites suspeitos ou injeção de spam.
Desde a divulgação pública no final de outubro de 2025, a Wordfence bloqueou mais de 48.400 tentativas de exploração, sendo 75 nas últimas 24 horas.
Os ataques vieram dos seguintes endereços IP:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
A empresa indica que os invasores começaram a explorar essa falha em 31 de outubro de 2025, com aumento expressivo nos ataques a partir de 9 de novembro.
Administradores de sites são orientados a atualizar imediatamente o plugin para a versão mais recente, revisar os usuários administrativos em busca de contas suspeitas e monitorar atividades atípicas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...