Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Cerca
UtiliaCS 970x120
Redhotcyber Banner Sito 320x100px Uscita 101125
Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino

Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino

Redazione RHC : 4 Dicembre 2025 07:44

Durante il processo di registrazione, una falla di sicurezza critica (CVE-2025-8489) nel plugin King Addons per Elementor di WordPress viene sfruttata dagli aggressori, consentendo loro di acquisire privilegi amministrativi grazie ad una vulnerabilità che permette l’escalation dei privilegi.

Un componente aggiuntivo di terze parti denominato King Addons amplia le funzionalità di Elementor, un noto plugin per la creazione visiva di pagine web per siti WordPress. Con un utilizzo stimato su circa 10.000 siti web, fornisce una gamma di widget, modelli e funzionalità supplementari.

L’attività di minaccia è iniziata il 31 ottobre, appena un giorno dopo la divulgazione del problema. Finora, lo scanner di sicurezza Wordfence di Defiant, un’azienda che fornisce servizi di sicurezza per i siti web WordPress, ha bloccato oltre 48.400 tentativi di exploit.


RHC0002 CTIP Corso Dark Web Cyber Threat Intelligence

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori hanno notato un picco nell’attività di sfruttamento tra il 9 e il 10 novembre, con due indirizzi IP più attivi: 45.61.157.120 (28.900 tentativi) e 2602:fa59:3:424::1 (16.900 tentativi).

Gli aggressori, stando alle analisi condotte da Wordfence, effettuano una richiesta contraffatta “admin-ajax.php” al fine di generare account con privilegi di amministratore non autorizzati sui siti presi di mira, specificando “user_role=administrator”.

Il difetto, identificato come CVE-2025-8489 da Peter Thaleikis, risiede nel gestore di registrazione del plugin, permettendo a qualsiasi utente registrato di assegnare a sé stesso un ruolo a propria scelta all’interno del sito web, compreso quello di amministratore, senza che siano applicate restrizioni di alcun tipo.

Si consiglia ai proprietari di siti web di eseguire l’aggiornamento alla versione 51.1.35 di King Addons, che risolve il problema CVE-2025-8489, rilasciato il 25 settembre.

Un’altra vulnerabilità critica nel plugin Extended di Advanced Custom Fields, che interessa più di 100.000 siti web WordPress, è stata segnalata dai ricercatori di Wordfence. Questa falla può consentire a un aggressore non autenticato di eseguire codice a distanza, mettendo a rischio la sicurezza dei siti interessati.

Il problema di sicurezza è stato segnalato il 18 novembre e il fornitore del plugin lo ha risolto nella versione 0.9.2 di Advanced Custom Fields: Extended, rilasciata un giorno dopo aver ricevuto il rapporto sulla vulnerabilità.

Poiché è possibile sfruttare la falla senza necessità di autenticazione attraverso una richiesta opportunamente strutturata, c’è il rischio che la diffusione pubblica di informazioni tecniche dettagliate provochi azioni dannose. Ai titolari di siti web si suggerisce di migrare alla versione più aggiornata al più presto oppure di rimuovere il plugin dai propri siti.

  • Advanced Custom Fields: Extended
  • aggiornamento urgente
  • CVE-2025-13486
  • CVE-2025–8489
  • Elementor
  • plugin
  • sicurezza
  • Vulnerabilità King Addons
  • wordpress
Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
CISA: Guida per l’integrazione sicura dell’AI nella tecnologia operativa (OT)
Di Redazione RHC - 04/12/2025

Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...

Immagine del sito
l nuovo Re dei DDoS è qui! 69 secondi a 29,7 terabit mitigati da Cloudflare
Di Redazione RHC - 03/12/2025

Un servizio di botnet chiamato Aisuru, offre un esercito di dispositivi IoT e router compromessi, per sferrare attacchi DDoS ad alto traffico. In soli tre mesi, la massiccia botnet Aisuru ha lanciato ...

Immagine del sito
Dentro a Lazarus! Il falso candidato che ha ingannato i cyber-spioni nordcoreani
Di Redazione RHC - 03/12/2025

Un’indagine congiunta di BCA LTD, NorthScan e ANY.RUN ha svelato uno degli schemi di hacking più segreti della Corea del Nord. Con il pretesto di un reclutamento di routine, il team ha monitorato c...

Immagine del sito
Le aziende corrono verso l’IA mentre le “AI Ombra” aprono nuovi fronti di rischio
Di Redazione RHC - 03/12/2025

L’adozione su larga scala dell’intelligenza artificiale nelle imprese sta modificando in profondità i processi operativi e, allo stesso tempo, introduce nuovi punti critici per la sicurezza. Le a...

Immagine del sito
A tutto Open Source! Esce Mistral 3, e le AI entrano nel mondo OnPrem
Di Redazione RHC - 03/12/2025

L’azienda francese Mistral AI ha presentato la sua linea di modelli Mistral 3, rendendoli completamente open source con licenza Apache 2.0. La serie include diversi modelli compatti e densi con 3, 8...