Эксперты по кибербезопасности предупреждают о массовых атаках, эксплуатирующих критическую уязвимость в популярном плагине WordPress King Addons for Elementor. Данная уязвимость, получившая идентификатор CVE-2025-8489, позволяет неаутентифицированному злоумышленнику получить на сайте права администратора в процессе регистрации. Согласно данным компании Wordfence, специализирующейся на защите веб-ресурсов, уже зафиксировано более 48 400 попыток эксплуатации этой бреши, причем активные атаки начались буквально на следующий день после публикации деталей уязвимости.
Описание
Проблема затрагивает все версии плагина с 24.12.92 по 51.1.14. Уязвимость была исправлена разработчиком 25 сентября 2025 года в выпуске 51.1.35, однако многие сайты до сих пор не обновлены. Важно отметить, что оценка по шкале CVSS составляет критические 9.8 баллов из 10. Такая высокая оценка отражает простоту эксплуатации и катастрофические последствия для безопасности сайта. По сути, получение прав администратора дает злоумышленнику полный контроль над ресурсом.
Техническая суть уязвимости заключается в некорректной проверке параметра user_role в функции обработки регистрации handle_register_ajax(). В результате атакующий может просто указать в POST-запросе роль administrator. Соответственно, система создает учетную запись с максимальными привилегиями без каких-либо проверок. После этого злоумышленник может загружать файлы, включая вредоносные темы и плагины с бэкдорами, изменять содержимое страниц для фишинга или перенаправления пользователей, а также устанавливать постоянное присутствие в системе.
Активная фаза эксплуатации началась 31 октября 2025 года, сразу после публичного раскрытия деталей проблемы. При этом пик атак пришелся на 9 и 10 ноября. Аналитики Wordfence Intelligence выделили наиболее агрессивные IP-адреса, с которых осуществлялись тысячи попыток атак. В частности, адрес 45.61.157[.]120 является источником более 28 900 блокировок межсетевого экрана. Кроме того, в списке фигурируют адреса 2602[:]fa59:3:424::1, 182.8.226[.]228, 138.199.21[.]230 и 206.238.221[.]25. Данные адреса рекомендуется считать индикаторами компрометации (Indicators of Compromise, IOC).
Для защиты владельцы сайтов должны немедленно обновить плагин King Addons for Elementor до версии 51.1.35 или выше. Кроме того, необходима тщательная проверка журналов аудита и списка пользователей на предмет появления новых, особенно подозрительных, учетных записей с правами администратора. Пользователям платных версий Wordfence Premium, Care и Response правило для межсетевого экрана было предоставлено еще 4 августа 2025 года. Владельцы сайтов с бесплатной версией получили защиту 3 сентября после стандартной 30-дневной задержки.
Тем не менее, даже при наличии защиты на уровне WAF (Web Application Firewall) критически важно установить официальный патч. Это связано с тем, что правило может блокировать только известные векторы атаки, а полное обновление устраняет саму уязвимость. В противном случае сайт остается под угрозой полного захвата. Например, злоумышленники могут использовать полученные привилегии для установки программ-вымогателей или скрытого майнинга криптовалюты.
Данный инцидент в очередной раз подчеркивает важность своевременного обновления всех компонентов веб-сайта, особенно сторонних плагинов и тем. Учитывая популярность конструктора Elementor, число потенциально уязвимых сайтов исчисляется тысячами. Эксперты настоятельно рекомендуют администраторам провести аудит безопасности, а также рассмотреть возможность использования профессиональных сервисов мониторинга и реагирования на инциденты, таких как Wordfence Care. В конечном счете, промедление с установкой патча создает прямой риск для репутации и целостности веб-ресурса.
Индикаторы компрометации
IPv4
- 138.199.21.230
- 182.8.226.228
- 206.238.221.25
- 45.61.157.120
IPv6
- 2602:fa59:3:424::1