Lỗ hổng trong King Addons cho Elementor của WordPress đang bị tấn công, cho phép hacker tạo tài khoản quản trị viên

Một lỗ hổng bảo mật nghiêm trọng trong plugin King Addons cho Elementor của WordPress đang bị khai thác tích cực trên diện rộng. Lỗ hổng này, được định danh là CVE-2025-8489 (điểm CVSS: 9.8), là một trường hợp leo thang đặc quyền cho phép kẻ tấn công không cần xác thực tự cấp quyền quản trị viên bằng cách chỉ định vai trò người dùng 'administrator' trong quá trình đăng ký. Lỗ hổng ảnh hưởng đến các phiên bản

Lỗ hổng bảo mật trong plugin WordPress King Addons cho Elementor

Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến plugin WordPress có tên King Addons cho Elementor đang bị khai thác tích cực trên diện rộng.

Lỗ hổng, CVE-2025-8489 (điểm CVSS: 9.8), là một trường hợp privilege escalation cho phép kẻ tấn công không cần xác thực tự cấp cho mình đặc quyền quản trị viên bằng cách đơn giản chỉ định vai trò người dùng 'administrator' trong quá trình đăng ký.

Lỗ hổng này ảnh hưởng đến các phiên bản từ 24.12.92 đến 51.1.14. Nó đã được các nhà bảo trì vá lỗi trong phiên bản 51.1.35 phát hành vào ngày 25 tháng 9 năm 2025. Nhà nghiên cứu bảo mật Peter Thaleikis được ghi nhận đã phát hiện và báo cáo lỗi này. Plugin này có hơn 10.000 lượt cài đặt đang hoạt động.

"Điều này là do plugin không hạn chế đúng cách các vai trò mà người dùng có thể đăng ký," Wordfence cho biết trong một cảnh báo. "Điều này cho phép những kẻ tấn công không được xác thực đăng ký tài khoản người dùng cấp quản trị viên."

Cụ thể, vấn đề nằm ở hàm "handle_register_ajax()" được gọi trong quá trình đăng ký người dùng. Tuy nhiên, việc triển khai không an toàn của hàm này có nghĩa là những kẻ tấn công không được xác thực có thể chỉ định vai trò của chúng là "administrator" trong một HTTP request được tạo sẵn gửi đến endpoint "/wp-admin/admin-ajax.php", cho phép chúng có được đặc quyền nâng cao.

Khai thác thành công lỗ hổng này có thể cho phép kẻ xấu chiếm quyền kiểm soát một trang web dễ bị tấn công đã cài đặt plugin này, và vũ khí hóa quyền truy cập để tải lên mã độc có thể phát tán malware, chuyển hướng khách truy cập trang web đến các trang độc hại, hoặc chèn spam.

Sơ đồ minh họa cách lỗ hổng King Addons cho Elementor bị khai thác

Wordfence cho biết họ đã chặn hơn 48.400 nỗ lực exploit kể từ khi lỗ hổng được công khai vào cuối tháng 10 năm 2025, với 75 nỗ lực bị ngăn chặn chỉ trong 24 giờ qua. Các cuộc tấn công có nguồn gốc từ các địa chỉ IP sau:

45.61.157.120
182.8.226.228
138.199.21.230
206.238.221.25
2602:fa59:3:424::1

"Kẻ tấn công có thể đã bắt đầu nhắm mục tiêu tích cực vào lỗ hổng này sớm nhất là vào ngày 31 tháng 10 năm 2025, với các cuộc exploit quy mô lớn bắt đầu vào ngày 9 tháng 11 năm 2025," công ty bảo mật WordPress cho biết.

Các quản trị viên trang web được khuyến nghị đảm bảo rằng họ đang sử dụng phiên bản mới nhất của plugin, kiểm tra môi trường của mình để tìm bất kỳ người dùng quản trị đáng ngờ nào và giám sát các dấu hiệu hoạt động bất thường.