Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Критична ранливост во WordPress додаток за Elementor се злоупотребува во напади

Објавено: 04.12.2025

Напаѓачите ја злоупотребуваат критичната ранливост за ескалација на привилегии (CVE-2025–8489) во додатокот King Addons for Elementor за WordPress, која им овозможува да добијат администраторски привилегии за време на процесот на регистрација.

Активноста на заканите започна на 31 октомври, само еден ден по јавната објава на проблемот. Досега, Wordfence безбедносниот скенер од Defiant — компанија што обезбедува безбедносни услуги за WordPress — блокирал повеќе од 48.400 обиди за експлоатација.

King Addons е додаток од трета страна за Elementor, популарен визуелен „page builder“ за WordPress. Се користи на околу 10.000 веб-страници, обезбедувајќи дополнителни „widgets“, шаблони и функции.

CVE-2025–8489, откриен од истражувачот Peter Thaleikis, е ранливост во модулот за регистрација на додатокот, која им дозволува на сите што се регистрираат да го зададат својот „user role“ на веб-страницата — вклучувајќи и администратор — без никакви ограничувања.

Според набљудувањата на Wordfence, напаѓачите испраќаат специјално изработено барање кон admin-ajax.php со параметар user_role=administrator, со што креираат лажни администраторски сметки на таргетираните веб-страници.

Злонамерно барање

Истражувачите забележале пораст на активноста за експлоатација помеѓу 9 и 10 ноември, при што две IP-адреси биле најактивни: 45.61.157.120 (28.900 обиди) и 2602:fa59:3:424::1 (16.900 обиди).

Wordfence обезбедува подолга листа на офанзивни IP-адреси и препорачува администраторите на веб-страници да ги проверуваат логовите. Појавата на нови администраторски сметки е исто така јасен знак на компромитирање.

На сопствениците на веб-страници им се препорачува да надградат на верзија 51.1.35 од King Addons, која ја решава ранливоста CVE-2025–8489 и беше објавена на 25 септември.

Истражувачите од Wordfence предупредуваат и за уште една критична ранливост во додатокот Advanced Custom Fields: Extended, активен на повеќе од 100.000 WordPress веб-страници, што може да биде злоупотребено од неавтентициран напаѓач за далечинско извршување на код.

Ранливоста ги погодува верзиите 0.9.0.5 до 0.9.1.1 од додатокот и моментално е евидентирана како CVE-2025-13486. Таа беше откриена и одговорно пријавена од Marcin Dudek, раководител на националниот CERT тим во Полска.

„Ранливоста се должи на тоа што функцијата прифаќа кориснички внес и потоа го пропушта преку call_user_func_array(),“ објаснува Wordfence.

„Ова им овозможува на неавтентицирани напаѓачи да извршуваат произволен код на серверот, што може да го искористат за вбризгување ‘backdoor’-и или за креирање нови администраторски сметки.“

Безбедносниот проблем беше пријавен на 18 ноември, а производителот на додатокот го реши во верзија 0.9.2, објавена еден ден по добивањето на извештајот за ранливоста.

Бидејќи ранливоста може да се искористи без автентикација преку специјално изработено барање, јавната објава на техничките детали најверојатно ќе поттикне злонамерна активност.

На сопствениците на веб-страници им се препорачува веднаш да преминат на најновата верзија или да го оневозможат додатокот.

Извори:

  • Bleeping Computer– Critical flaw in WordPress add-on for Elementor exploited in attacks Bleeping Computer