Wordfence предупреждает о критической EoP-уязвимости (CVE-2025 | SecAtor

Wordfence предупреждает о критической EoP-уязвимости (CVE-2025–8489) в плагине King Addons for Elementor для WordPress, которая позволяет им получить административные разрешения во время процесса регистрации и активно задействуется в реальных атаках.

Активность была замечена 31 октября, всего через день после того, как проблема была публично раскрыта.

К настоящему моменту Wordfence заблокировала более 48 400 попыток реализации эксплойта.

King Addons - это стороннее дополнение для Elementor, популярного плагина визуального конструктора страниц для сайтов на WordPress, предоставляющее дополнительные виджеты, шаблоны и функции.

CVE-2025–8489 была обнаружена исследователем Питером Талейкисом и представляет собой уязвимость в обработчике регистрации плагина, которая позволяет любому зарегистрировавшемуся пользователю указать свою роль пользователя на веб-сайте, включая администратора, без применения каких-либо ограничений.

По данным Wordfence, злоумышленники отправляют специально созданный запрос admin-ajax.php, указав user_role=administrator, для создания подконтрольных учетных записей администраторов на целевых сайтах.

Исследователи отметили пик вредоносной активности между 9 и 10 ноября, при этом наиболее активными были два IP-адреса: 45.61.157.120 (28 900 попыток) и 2602:fa59:3:424::1 (16 900 попыток).

При этом Wordfence раскрывает также полный список вредоносных IP-адресов и рекомендует администраторам сайтов осуществить их поиск в файлах журналов. Наличие новых учётных записей администраторов также является явным признаком взлома.

Безусловно, рекомендуется обновиться до версии 51.1.35 King Addons, которая устраняет уязвимость CVE-2025–8489, выпущенную 25 сентября.

Помимо CVE-2025–8489 исследователи Wordfence также предупреждают о еще одной критической уязвимости в плагине Advanced Custom Fields: Extended, активном на более чем 100 000 сайтов WordPress, которая может быть использована неавторизованным злоумышленником для RCE.

Уязвимость затрагивает версии плагина с 0.9.0.5 по 0.9.1.1 и в настоящее время отслеживается как CVE-2025-13486.

Она была обнаружена и раскрыта польским CERT.

Уязвимость обусловлена тем, что функция принимает пользовательский ввод и затем передает его через call_user_func_array(), что позволяет неаутентифицированным злоумышленникам выполнять произвольный код на сервере со всеми вытекающими последствиями.

После уведомления о проблеме 18 ноября поставщик плагина устранил ее в версии 0.9.2 Advanced Custom Fields: Extended, выпущенной через день после получения отчета об уязвимости.

Учитывая, что уязвимость может быть использована без аутентификации посредством специально созданного запроса, публичное раскрытие технических подробностей, скорее всего, приведет к вредоносной активности.

Владельцам сайтов рекомендуется как можно скорее перейти на последнюю версию или отключить плагин на своих ресурсах.