Vulnerabilità critiche nei plugin WordPress: King Addons per Elementor e Extended nel mirino

Durante il processo di registrazione, una falla di sicurezza critica (CVE-2025-8489) nel plugin King Addons per Elementor di WordPress viene sfruttata dagli aggressori, consentendo loro di acquisire privilegi amministrativi grazie ad una vulnerabilità che permette l’escalation dei privilegi.

Un componente aggiuntivo di terze parti denominato King Addons amplia le funzionalità di Elementor, un noto plugin per la creazione visiva di pagine web per siti WordPress. Con un utilizzo stimato su circa 10.000 siti web, fornisce una gamma di widget, modelli e funzionalità supplementari.

L’attività di minaccia è iniziata il 31 ottobre, appena un giorno dopo la divulgazione del problema. Finora, lo scanner di sicurezza Wordfence di Defiant, un’azienda che fornisce servizi di sicurezza per i siti web WordPress, ha bloccato oltre 48.400 tentativi di exploit.

I ricercatori hanno notato un picco nell’attività di sfruttamento tra il 9 e il 10 novembre, con due indirizzi IP più attivi: 45.61.157.120 (28.900 tentativi) e 2602:fa59:3:424::1 (16.900 tentativi).

Gli aggressori, stando alle analisi condotte da Wordfence, effettuano una richiesta contraffatta “admin-ajax.php” al fine di generare account con privilegi di amministratore non autorizzati sui siti presi di mira, specificando “user_role=administrator”.

Il difetto, identificato come CVE-2025-8489 da Peter Thaleikis, risiede nel gestore di registrazione del plugin, permettendo a qualsiasi utente registrato di assegnare a sé stesso un ruolo a propria scelta all’interno del sito web, compreso quello di amministratore, senza che siano applicate restrizioni di alcun tipo.

Si consiglia ai proprietari di siti web di eseguire l’aggiornamento alla versione 51.1.35 di King Addons, che risolve il problema CVE-2025-8489, rilasciato il 25 settembre.

Un’altra vulnerabilità critica nel plugin Extended di Advanced Custom Fields, che interessa più di 100.000 siti web WordPress, è stata segnalata dai ricercatori di Wordfence. Questa falla può consentire a un aggressore non autenticato di eseguire codice a distanza, mettendo a rischio la sicurezza dei siti interessati.

Il problema di sicurezza è stato segnalato il 18 novembre e il fornitore del plugin lo ha risolto nella versione 0.9.2 di Advanced Custom Fields: Extended, rilasciata un giorno dopo aver ricevuto il rapporto sulla vulnerabilità.

Poiché è possibile sfruttare la falla senza necessità di autenticazione attraverso una richiesta opportunamente strutturata, c’è il rischio che la diffusione pubblica di informazioni tecniche dettagliate provochi azioni dannose. Ai titolari di siti web si suggerisce di migrare alla versione più aggiornata al più presto oppure di rimuovere il plugin dai propri siti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione