Defiantの報告によると、脅威アクターが最近発見されたElementor用King Addonsの脆弱性を悪用してWordPressウェブサイトをハッキングしています。
CVE-2025-8489(CVSSスコア9.8)として追跡されているこの重大なバグは、攻撃者が管理者権限を取得できる権限昇格の問題として説明されています。
この脆弱性はバージョン24.12.92から51.1.14に影響します。King Addons for Elementorの管理者は、9月25日にリリースされたバージョン51.1.35でこの問題にパッチを適用しました。
約1か月後、脅威アクターがこのCVEを標的にした攻撃を開始し、Defiantはこれまでに約5万件の悪用試行を観測しています。
このセキュリティホールは、Defiantの説明によると、プラグインの登録処理機能が安全でない方法で実装されていたことに起因しています。
これにより「認証されていない攻撃者が制限なく自分の役割を指定できるため、自分自身に管理者権限を付与できてしまう」とDefiantは述べています。
WordPressのセキュリティ企業であるDefiantによれば、King Addons for Elementorの脆弱性が悪用されると、攻撃者が管理者権限を取得した時点でサイト全体が乗っ取られることになります。
サイトを乗っ取った攻撃者は、悪意のあるファイルをアップロードしたり、コンテンツを改ざんしてユーザーを悪質なサイトにリダイレクトすることができます。
「当社の脅威インテリジェンスによると、攻撃者は2025年10月31日頃からこの脆弱性を積極的に標的にし始め、2025年11月9日から大規模な悪用が始まった可能性があります」とDefiantは述べています。
King Addons for Elementorは1万件以上のアクティブインストールがあります。WordPressの統計によれば、数千のウェブサイトが依然として脆弱なバージョンのプラグインを使用しています。
ユーザーはできるだけ早くKing Addons for Elementorのバージョン51.1.35以降にアップデートすることが推奨されています。
翻訳元: https://www.securityweek.com/critical-king-addons-vulnerability-exploited-to-hack-wordpress-sites/
