Falha crítica do plug-in Elementor permite que invasores tomem controle de administração do WordPress – Against Invaders

Falha crítica do plug-in Elementor permite que invasores tomem controle de administração do WordPress - Against Invaders

Uma grave vulnerabilidade de escalonamento de privilégios nos complementos King para Elementor WordPress plugin expôs milhares de sites ao comprometimento administrativo completo.

A falha, rastreada como CVE-2025-8489 com uma pontuação CVSS crítica de 9,8, permite que invasores não autenticados se registrem com privilégios de administrador, concedendo aos agentes da ameaça controle total do site.

Campo Detalhes
ID do CVE CVE-2025-8489
Pontuação CVSS 9.8 (crítico)
Tipo de vulnerabilidade Escalação de privilégios não autenticados
Versões afetadas 24.12.92 – 51.1.14

Visão geral da vulnerabilidade

King Addons for Elementor, um plugin amplamente implantado com mais de 10.000 instalações ativas, continha uma falha crítica nas versões 24.12.92 a 51.1.14.

A vulnerabilidade decorre da restrição inadequada de função na função de registro de usuário do plugin.

Ao processar solicitações de registro, o plug-in aceita funções especificadas pelo usuário sem validação, permitindo que invasores se designem como administradores durante a inscrição.

O fornecedor lançou uma versão corrigida 51.1.35 em 25 de setembro de 2025, após o envio inicial em 24 de julho de 2025.

O código vulnerável não consegue restringir quais funções os usuários podem atribuir durante o registro. A função handle_register_ajax() aceita um parâmetro user_role diretamente de solicitações POST sem verificações de autorização adequadas.

Um invasor pode criar uma solicitação de registro maliciosa especificando “administrador” como sua função, e o plug-in processa a solicitação sem verificação.

Uma vez registrados com privilégios administrativos, os invasores ganham controle total sobre a instalação do WordPress, permitindo-lhes fazer upload de plug-ins maliciosos, injetar backdoors, modificar o conteúdo do site e redirecionar usuários para sites de phishing ou distribuição de malware.

Pesquisadores de segurança inicialmente divulgado esta vulnerabilidade no banco de dados Wordfence Intelligence em 30 de outubro de 2025.

A exploração começou quase imediatamente, com ataques confirmados a partir de 31 de outubro de 2025. Firewall Wordfence já bloqueou mais de 48.400 tentativas de exploração, com surtos de ataques significativos detectados de 9 a 10 de novembro de 2025.

Os usuários Premium do Wordfence receberam proteção de firewall em 4 de agosto de 2025, enquanto os usuários da versão gratuita foram protegidos após a janela de divulgação padrão de 30 dias em 3 de setembro de 2025.

A análise dos padrões de exploração revela uma campanha coordenada visando instalações vulneráveis.

O endereço IP 45.61.157.120 é responsável por mais de 28.900 solicitações bloqueadas, com 2602:fa59:3:424::1 responsável por 16.900 tentativas adicionais.

Três outros endereços IP foram associados a centenas de tentativas de exploração cada, indicando atividade sustentada dos atores da ameaça.

Os administradores do WordPress que executam King Addons for Elementor devem atualizar para a versão 51.1.35 imediatamente.

Os sites devem ser monitorados em busca de contas de administrador suspeitas criadas durante o período de exploração ativa, especialmente aqueles com carimbos de data/hora entre 31 de outubro e o presente.

Revendo logs do servidor web para solicitações identificadas endereços IP maliciosos pode ajudar a determinar o status de exposição. Os sites que executam versões vulneráveis ​​devem assumir possíveis comprometimentos e realizar auditorias de segurança completas.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.