Una falla de seguridad crítica que afecta a un complemento de WordPress conocido como King Addons para Elementor ha sido explotada activamente en la naturaleza.
La vulnerabilidad, CVE-2025-8489 (Puntuación CVSS: 9,8), es un caso de escalada de privilegios que permite a atacantes no autenticados otorgarse privilegios administrativos simplemente especificando la función de usuario administrador durante el registro.
Afecta a las versiones desde el 24.12.92 hasta la 51.1.14. Los mantenedores lo parchearon en la versión 51.1.35 lanzada el 25 de septiembre de 2025. Al investigador de seguridad Peter Thaleikis se le atribuye el mérito de descubrir e informar la falla. El complemento tiene más de 10.000 instalaciones activas.
«Esto se debe a que el complemento no restringe adecuadamente los roles con los que los usuarios pueden registrarse», Wordfence dicho en una alerta. «Esto hace posible que atacantes no autenticados se registren con cuentas de usuario de nivel de administrador».
Específicamente, el problema tiene su origen en la función «handle_register_ajax()» que se invoca durante el registro del usuario. Pero una implementación insegura de la función significó que los atacantes no autenticados pueden especificar su rol como «administrador» en una solicitud HTTP diseñada al punto final «/wp-admin/admin-ajax.php», lo que les permite obtener privilegios elevados.
La explotación exitosa de la vulnerabilidad podría permitir a un mal actor tomar el control de un sitio susceptible que haya instalado el complemento y utilizar el acceso como arma para cargar código malicioso que pueda generar malware, redirigir a los visitantes del sitio a sitios dudosos o inyectar spam.
Wordfence dijo que ha bloqueado más de 48.400 intentos de explotación desde que se reveló públicamente la falla a fines de octubre de 2025, con 75 intentos frustrados solo en las últimas 24 horas. Los ataques se originaron desde las siguientes direcciones IP:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
«Es posible que los atacantes hayan comenzado a atacar activamente esta vulnerabilidad ya el 31 de octubre de 2025, y la explotación masiva comenzó el 9 de noviembre de 2025», dijo la empresa de seguridad de WordPress.
Se recomienda a los administradores del sitio que se aseguren de estar ejecutando la última versión del complemento, auditen sus entornos en busca de usuarios administradores sospechosos y supervisen cualquier signo de actividad anormal.
Fuente