O que foi reportado
A falha, identificada como CVE-2025-8489 e com CVSS 9.8 segundo a matéria, impacta o plugin King Addons para Elementor. Trata-se de uma condição de escalonamento de privilégios que permite que um atacante não autenticado especifique a role de administrador durante o fluxo de registro, efetivamente criando contas administrativas sem autorização.
Vetor de exploração
De acordo com a reportagem, o exploit permite que, durante o registro de usuário, o ator malicioso forneça o papel (role) de administrador e assim obtenha acesso administrativo. A matéria indica exploração ativa em ambientes reais, o que amplia a urgência da mitigação para sites que ainda utilizam o plugin vulnerável.
Impacto e alcance
- CVE: CVE-2025-8489
- CVSS reportado: 9.8
- Produto afetado: King Addons (plugin para Elementor)
Plugins de construtores como Elementor são amplamente utilizados por sites institucionais e comerciais; uma falha que permite criação de administradores pode levar a tomadas de controle de sites, implantações de backdoors, defacements e, potencialmente, movimentos laterais em ambientes que compartilham credenciais ou integrações.
Mitigações
A matéria original reporta a exploração em andamento, mas não fornece na íntegra a lista de versões corrigidas ou instruções detalhadas de atualização no texto disponível. Administradores de sites devem verificar imediatamente a disponibilidade de uma correção junto ao fornecedor do plugin e restringir temporariamente funcionalidades de registro público quando possível.
Limitações das informações
O texto consultado não detalha quais versões exatas são afetadas (o trecho disponível é truncado neste ponto) nem traz um PoC público detalhado. Ainda assim, a combinação de CVSS alto e exploração ativa torna a questão de alta prioridade operacional.
Fonte: The Hacker News