Descoberta e escopo
Pesquisadores publicaram detalhes da vulnerabilidade rastreada como CVE-2025-8489, que afeta versões do plugin King Addons for Elementor entre 24.12.92 e 51.1.14. O problema é uma função de registro insegura que não restringe corretamente o papel atribuído a novos usuários, permitindo que um atacante envie um pedido ao endpoint admin-ajax.php com o campo user_role definido como administrator e crie uma conta administrativa sem autenticação.
Abordagem técnica e exploração
A exploração descrita não requer credenciais prévias: basta uma solicitação HTTP forjada ao mecanismo de registro do plugin. A vulnerabilidade foi classificada como crítica com pontuação CVSS de 9.8. Após a divulgação pública em 30 de outubro de 2025, pesquisadores e fornecedores de segurança observaram atividade exploratória em larga escala.
Impacto e contagem de tentativas
O King Addons for Elementor possui mais de 10.000 instalações ativas segundo a cobertura das fontes, o que torna a superfície de ataque relevante para proprietários de sites WordPress que usam o plugin. A empresa Wordfence informou ter bloqueado mais de 48.400 tentativas de exploração, com picos de tráfego observados nos dias 9 e 10 de novembro de 2025. Foram identificados IPs associados a grande volume de requisições, entre eles 45.61.157.120 (28.900+ pedidos bloqueados) e 2602:fa59:3:424::1 (16.900+).
Mitigações e correção
O desenvolvedor liberou uma versão corrigida, 51.1.35, em 25 de setembro de 2025; portanto, a ação imediata recomendada é atualizar para essa versão ou superior. Wordfence já aplicou regras de firewall para bloquear tentativas de exploração (disponíveis para usuários Premium, Care, Response e posteriormente para usuários gratuitos), e admins devem verificar a presença de contas administrativas desconhecidas, revisar logs de acesso e procurar alterações em plugins, temas e conteúdo.
Limitações das informações
As fontes não detalham amostras públicas de exploit com payloads adicionais além da criação de contas administrativas; igualmente, não há divulgação consolidada de uma lista completa de domínios comprometidos ou incidentes rastreados a invasores específicos.
Recomendações operacionais
- Atualizar imediatamente para King Addons for Elementor 51.1.35 ou superior.
- Auditar usuários administrativos e remover contas desconhecidas.
- Revisar logs de acesso e bloquear IPs maliciosos identificados nas fontes.
- Considerar varredura forense e resposta a incidentes caso haja sinais de comprometimento (backdoors, plugins/themes maliciosos, redirecionamentos).
Contexto regulatório
Em casos de comprometimento que envolvam dados pessoais de residentes no Brasil, a exposição pode enquadrar-se nas obrigações da LGPD — as fontes não indicam incidentes específicos no Brasil, portanto a necessidade de comunicação/regulação depende do levantamento forense de cada organização.