Se está explotando una falla de seguridad crítica que afecta a un complemento de WordPress conocido como King Addons para Elementor.
Esta vulnerabilidad, CVE-2025-8489 (puntuación CVSS: 9,8), es un caso de escalada de privilegios que permite a un atacante no autenticado otorgarse privilegios administrativos simplemente especificando la función de usuario administrador durante el registro.
Las versiones afectadas son 24.12.92 a 51.1.14. El mantenedor parchó esta vulnerabilidad en la versión 51.1.35, lanzada el 25 de septiembre de 2025. Al investigador de seguridad Peter Thaleikis se le atribuye el descubrimiento y el informe de esta falla. Este complemento tiene más de 10.000 instalaciones activas.
«Esto se debe a que el complemento no restringe adecuadamente los roles en los que los usuarios pueden registrarse», dijo Wordfence en la advertencia. «Esto permite que un atacante no autenticado registre una cuenta de usuario de nivel de administrador».
Específicamente, la causa de este problema radica en la función «handle_register_ajax()» que se llama durante el registro del usuario. Sin embargo, una implementación insegura de esta característica podría permitir que un atacante no autenticado especifique su rol como «Administrador» en una solicitud HTTP diseñada para el punto final «/wp-admin/admin-ajax.php» y obtenga privilegios elevados.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante malintencionado tomar el control de un sitio susceptible que tenga el complemento instalado y utilizar el acceso como arma para cargar código malicioso para distribuir malware, redirigir a los visitantes del sitio a un sitio peligroso o inyectar spam.
Wordfence dice que ha frustrado más de 48.400 intentos de explotación desde que la falla se hizo pública a fines de octubre de 2025, con 75 intentos frustrados solo en las últimas 24 horas. El ataque se originó desde la siguiente dirección IP:
45.61.157.120 182.8.226.228 138.199.21.230 206.238.221.25 2602:fa59:3:424::1
«Es posible que los atacantes hayan comenzado a atacar activamente esta vulnerabilidad ya el 31 de octubre de 2025, y la explotación a gran escala comenzará el 9 de noviembre de 2025», dijo la firma de seguridad de WordPress.
Se recomienda a los administradores del sitio que se aseguren de ejecutar las últimas versiones de los complementos, auditen sus entornos en busca de usuarios administradores sospechosos y supervisen signos de actividad inusual.
Source link
