King Addons漏洞让任何人成为WordPress管理员

黑客正在利用一个King Addons插件漏洞（CVE-2025-8489），该漏洞允许任何人在WordPress网站上注册并立即获得管理员权限。

黑客正在利用WordPress插件King Addons for Elementor中的一个关键漏洞，该漏洞被追踪为CVE-2025-8489（CVSS评分为9.8）。该漏洞允许未经身份验证的用户通过注册权限漏洞创建管理员账户。

King Addons for Elementor是一个第三方WordPress插件，旨在扩展流行的Elementor页面构建器的功能。它为用户提供了Elementor默认不包含的额外小部件、模板、视觉效果和设计工具。网站所有者使用它来构建更具动态性、视觉效果更丰富的页面，而无需自定义代码。该插件已安装在超过10,000个网站上。

该漏洞是24.12.92至51.1.14版本中的权限提升漏洞。该漏洞源于插件未能正确限制用户可以注册的角色。未经身份验证的攻击者可以利用此问题注册具有管理员级别权限的用户账户。

安全研究员Peter Thaleikis报告了此漏洞。

Wordfence研究人员警告称，威胁行为者正在积极利用此漏洞。

“供应商于2025年9月25日发布了修补版本，我们最初于2025年10月30日在Wordfence Intelligence漏洞数据库中披露了此漏洞。我们的记录显示，攻击者于次日（2025年10月31日）开始利用此漏洞。”Wordfence发布的报告中写道。“Wordfence防火墙已阻止了超过48,400次针对此漏洞的攻击尝试。”

King Addons for Elementor中的漏洞存在于“handle_register_ajax()”函数中。攻击者可以向“/wp-admin/admin-ajax.php”发送特制请求，指定“administrator”角色，从而为自己授予完全的管理员权限。利用此漏洞可以使他们控制网站、上传恶意代码、分发恶意软件、将访问者重定向到恶意网站或注入垃圾内容。

“与任何权限提升漏洞一样，此漏洞可被用于完全入侵网站。一旦攻击者获得了WordPress网站的管理员用户访问权限，他们就可以像普通管理员一样操作目标网站上的任何内容。这包括上传插件和主题文件的能力，这些文件可能是包含后门的恶意zip文件。此外，他们还可以修改帖子和页面，从而将网站用户重定向到其他恶意网站或注入垃圾内容。”

自King Addons for Elementor漏洞被披露以来，Wordfence已阻止了超过48,400次攻击尝试。攻击尝试始于10月31日，研究人员在11月9日至10日观察到高峰。主要的攻击IP包括45.61.157.120（约28,900次拦截）和2602:fa59:3:424::1（约16,900次拦截）。入侵迹象包括新的恶意管理员账户以及来自这些IP的可疑请求。建议如果出现异常活动，即使日志未显示攻击，也应进行彻底审查。

“我们的威胁情报表明，攻击者可能早在2025年10月31日就开始积极利用此漏洞，并于2025年11月9日开始大规模利用。Wordfence防火墙已阻止了超过48,400次针对此漏洞的攻击尝试。”报告总结道。“即使您已经收到了针对此问题的防火墙规则，我们也敦促您确保将网站更新至至少51.1.35版本，以保持正常功能。”

关注我的Twitter：@securityaffairs、Facebook和Mastodon。

Pierluigi Paganini （SecurityAffairs - 黑客, WordPress）