Il panorama della sicurezza WordPress è nuovamente sotto pressione: una vulnerabilità critica nel plugin King Addons for Elementor consente ad attaccanti remoti di creare account amministratore senza alcuna autenticazione, compromettendo totalmente i siti web che utilizzano questo componente aggiuntivo. La falla, catalogata come CVE-2025-8489 e valutata con un punteggio CVSS di 9.8 su 10, rappresenta uno scenario da incubo per gli sviluppatori web, poiché consente un'escalation di privilegi istantanea che trasforma qualsiasi visitatore anonimo in un amministratore con pieni poteri. Oltre 10.000 siti sono potenzialmente esposti, e i dati del firewall Wordfence documentano già più di 48.400 tentativi di sfruttamento attivo della vulnerabilità.
King Addons for Elementor è un plugin di terze parti progettato per espandere le funzionalità del celebre page builder Elementor, fornendo widget aggiuntivi, template predefiniti, effetti visivi avanzati e strumenti di progettazione che non sono inclusi nella versione base. Il componente è particolarmente apprezzato da sviluppatori e designer che vogliono realizzare pagine visivamente complesse senza ricorrere a codice personalizzato, ma questa comodità si è trasformata in un rischio di sicurezza concreto.
La vulnerabilità colpisce tutte le versioni del plugin comprese tra la 24.12.92 e la 51.1.14, e la causa tecnica risiede in una gestione inadeguata dei ruoli utente durante la fase di registrazione. Il problema specifico si trova nella funzione "handle_register_ajax()", che non verifica adeguatamente i permessi quando un utente tenta di registrarsi al sito. Un attaccante può inviare una richiesta HTTP appositamente costruita all'endpoint /wp-admin/admin-ajax.php, specificando direttamente il ruolo "administrator" nei parametri della richiesta.
La scoperta della falla si deve al ricercatore di sicurezza Peter Thaleikis, mentre il team di Wordfence ha successivamente documentato lo sfruttamento attivo in natura. Il produttore ha rilasciato una patch correttiva il 25 settembre 2025 con la versione 51.1.15, ma la divulgazione pubblica della vulnerabilità nel database Wordfence Intelligence è avvenuta solo il 30 ottobre 2025. Secondo le telemetrie di Wordfence, gli attaccanti hanno iniziato a sfruttare la vulnerabilità immediatamente, già dal 31 ottobre 2025, dimostrando una risposta estremamente rapida da parte della comunità di cybercriminali.
Le conseguenze di uno sfruttamento riuscito sono devastanti per qualsiasi sito WordPress. Una volta ottenuti i privilegi amministrativi, gli attaccanti possono caricare plugin e temi malevoli contenenti backdoor persistenti, modificare pagine e articoli per iniettare spam o redirect verso siti dannosi, installare malware che si diffonde ai visitatori, estrarre dati sensibili degli utenti registrati o manipolare il database del sito. Si tratta di un compromesso totale che equivale alla perdita completa del controllo sulla piattaforma.
L'analisi delle minacce condotta da Wordfence ha identificato pattern precisi negli attacchi. I picchi di sfruttamento si sono concentrati tra il 9 e il 10 novembre, con due indirizzi IP particolarmente attivi: 45.61.157.120 responsabile di circa 28.900 tentativi di attacco bloccati, e 2602:fa59:3:424::1 con circa 16.900 tentativi. Questi indicatori di compromissione dovrebbero essere utilizzati dagli amministratori per verificare i log dei propri server alla ricerca di attività sospette.
Gli esperti di Wordfence raccomandano un aggiornamento immediato alla versione 51.1.35 o successiva, che include non solo la correzione della vulnerabilità ma anche miglioramenti aggiuntivi per la stabilità e la sicurezza del plugin. Anche i siti protetti da regole firewall specifiche dovrebbero eseguire l'aggiornamento per garantire una funzionalità normale ed evitare potenziali bypass. Per chi sospetta di essere stato compromesso, è fondamentale verificare la presenza di nuovi account amministratore creati senza autorizzazione, controllare le modifiche recenti a file di plugin e temi, ed esaminare attentamente i log di accesso per richieste sospette agli endpoint AJAX di WordPress.
Questo incidente evidenzia ancora una volta la fragilità dell'ecosistema dei plugin WordPress di terze parti, dove controlli di sicurezza inadeguati possono trasformare strumenti utili in vettori di attacco critici. La rapidità con cui gli attaccanti hanno iniziato a sfruttare la vulnerabilità subito dopo la divulgazione pubblica sottolinea l'importanza di sistemi di aggiornamento automatici e di una gestione proattiva delle patch di sicurezza, particolarmente per siti web ad alto traffico o con dati sensibili degli utenti.