攻撃者は、WordPress 向けの King Addons for Elementor プラグインに存在する重大度「クリティカル」の権限昇格の脆弱性(CVE-2025–8489)を悪用しており、これにより登録プロセス中に管理者権限を取得できてしまいます。
この脅威活動は、問題が公開された翌日の 10 月 31 日に始まりました。これまでに、WordPress サイト向けにセキュリティサービスを提供する Defiant 社の Wordfence セキュリティスキャナーは、48,400 件以上の悪用試行をブロックしています。
King Addons は、WordPress サイト向けの人気ビジュアルページビルダープラグインである Elementor のサードパーティ製アドオンです。およそ 10,000 のウェブサイトで使用されており、追加のウィジェット、テンプレート、機能を提供します。
研究者 Peter Thaleikis によって発見された CVE-2025–8489 は、プラグインの登録ハンドラーに存在する欠陥であり、サイトへのサインアップ時に、制限が一切適用されないまま、管理者ロールを含む任意のユーザーロールを指定できてしまいます。
Wordfence の観測によると、攻撃者は細工した「admin-ajax.php」リクエストを送信し、「user_role=administrator」を指定することで、標的サイト上に不正な管理者アカウントを作成しています。
出典: Wordfence
研究者らは、11 月 9 日から 10 日にかけて悪用活動のピークを確認しており、特に活動が活発だった IP アドレスは 45.61.157.120(28,900 回の試行)と 2602:fa59:3:424::1(16,900 回の試行)の 2 つでした。
Wordfence は、より広範な攻撃元 IP アドレスのリストを提供しており、ウェブサイト管理者に対してログファイル内でこれらを確認するよう推奨しています。新たな管理者アカウントの存在も、侵害の明確な兆候です。
ウェブサイト所有者には、CVE-2025–8489 に対処した King Addons バージョン 51.1.35 へのアップグレードが推奨されています。このバージョンは 9 月 25 日にリリースされました。
Wordfence の研究者らはまた、10 万以上の WordPress サイトで有効化されている Advanced Custom Fields: Extended プラグインに存在する、別の重大な脆弱性についても警告しています。この脆弱性は、認証されていない攻撃者によってリモートでコードを実行するために悪用される可能性があります。
この欠陥は、プラグインのバージョン 0.9.0.5 から 0.9.1.1 に影響し、現在 CVE-2025-13486 として追跡されています。ポーランドの国家コンピュータ緊急対応チーム(CERT)の責任者である Marcin Dudek 氏によって発見され、責任を持って報告されました。
この脆弱性は「関数がユーザー入力を受け取り、それを call_user_func_array() に渡してしまうことが原因です」と、Wordfence は説明しています。
「これにより、認証されていない攻撃者がサーバー上で任意のコードを実行できるようになり、バックドアの埋め込みや新たな管理者ユーザーアカウントの作成に悪用される可能性があります。」
このセキュリティ問題は 11 月 18 日に報告され、プラグインベンダーは、脆弱性報告を受け取った翌日にリリースされた Advanced Custom Fields: Extended バージョン 0.9.2 でこれに対処しました。
この欠陥は、細工されたリクエストのみで認証なしに悪用可能であることから、技術的詳細の公開により悪意ある活動が誘発される可能性が高いとみられます。
ウェブサイト所有者は、可能な限り早急に最新バージョンへ移行するか、サイト上で当該プラグインを無効化することが推奨されています。
