HackerNews 编译,转载请注明出处:
WordPress 插件 King Addons for Elementor 被披露存在一个高危安全漏洞,目前已遭在野活跃利用。
该漏洞编号为 CVE-2025-8489,CVSS 评分为 9.8(严重级别),属于权限提升漏洞。未授权攻击者可在注册账户时直接指定管理员用户角色,从而获取网站管理员权限。
- 受影响版本:24.12.92 至 51.1.14 版本
- 修复版本:51.1.35(2025 年 9 月 25 日发布)
- 插件规模:超过 10,000 个活跃安装量
- 漏洞发现者:安全研究员彼得・塔莱基斯(Peter Thaleikis)(已获官方致谢)
Wordfence 安全团队在警报中指出:“该漏洞源于插件未对用户注册时可选择的角色进行严格限制,导致未授权攻击者可直接注册管理员级别的用户账户。”
具体来看,漏洞根源在于用户注册过程中调用的 handle_register_ajax() 函数。由于该函数实现存在安全缺陷,未授权攻击者可构造恶意 HTTP 请求,向 /wp-admin/admin-ajax.php 端点提交注册数据时,将角色字段指定为 “administrator”(管理员),进而实现权限提升。
成功利用该漏洞的攻击者可完全控制安装了该插件的目标网站,并利用获取的管理员权限实施以下攻击行为:
- 上传恶意代码,植入恶意软件;
- 篡改网站配置,将访客重定向至恶意站点;
- 注入垃圾内容或钓鱼链接。
Wordfence 数据显示,自 2025 年 10 月底漏洞公开披露以来,已拦截超过 48,400 次攻击尝试,仅过去 24 小时内就阻断了 75 次攻击。攻击主要来自以下 IP 地址:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
该安全公司表示:“攻击者最早可能于 2025 年 10 月 31 日开始针对该漏洞发起攻击,大规模利用始于 11 月 9 日。”
网站管理员应立即采取以下防护措施:
- 确保插件已更新至最新版本(51.1.35 及以上);
- 审计网站管理员账户列表,排查可疑新增账户;
- 持续监控网站日志,警惕异常操作行为(如未知 IP 登录、批量文件上传等)。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
