Una falla de seguridad crítica que afecta a un complemento de WordPress conocido como King Addons para Elementor ha sido explotada activamente en la naturaleza.
La vulnerabilidad, CVE-2025-8489 (puntuación CVSS: 9,8), es un caso de escalamiento de privilegios que permite a los atacantes no autenticados concederse privilegios administrativos simplemente especificando la función de usuario administrador durante el registro.
Afecta a las versiones de 24.12.92 a 51.1.14. Los mantenedores lo corrigieron en la versión 51.1.35, publicada el 25 de septiembre de 2025. Al investigador de seguridad Peter Thaleikis se le atribuye el descubrimiento y la denuncia de la falla. El plugin tiene más de 10.000 instalaciones activas.
«Esto se debe a que el complemento no restringe correctamente las funciones con las que los usuarios pueden registrarse», Wordfence dijo en una alerta. «Esto hace posible que los atacantes no autenticados se registren con cuentas de usuario de nivel de administrador».
En concreto, el problema tiene su origen en la función «handle_register_ajax ()» que se invoca durante el registro del usuario. Sin embargo, la implementación insegura de la función significaba que los atacantes no autenticados podían especificar su rol de «administrador» en una solicitud HTTP diseñada al punto final "/wp-admin/admin-ajax.php», lo que les permitía obtener privilegios elevados.
La explotación exitosa de la vulnerabilidad podría permitir a un usuario malintencionado hacerse con el control de un sitio vulnerable que haya instalado el complemento y utilizar como arma el acceso para cargar código malicioso que puede enviar malware, redirigir a los visitantes del sitio a sitios incompletos o inyectar spam.
Wordfence dijo que ha bloqueado más de 48.400 intentos de explotación desde que la falla se reveló públicamente a fines de octubre de 2025, con 75 intentos frustrados solo en las últimas 24 horas. Los ataques se originaron en las siguientes direcciones IP:
- 4561,1157120
- 182,8226228
- 13819921230
- 206,238,221,25
- 2602: fa 59:3:42:1
«Es posible que los atacantes hayan comenzado a atacar activamente esta vulnerabilidad ya el 31 de octubre de 2025, y la explotación masiva comenzó el 9 de noviembre de 2025", dijo la empresa de seguridad WordPress.
Se recomienda a los administradores del sitio que se aseguren de ejecutar la última versión del complemento, auditen sus entornos para detectar cualquier usuario administrador sospechoso y supervisen cualquier signo de actividad anormal.