Una vulnerabilidad catalogada como crítica está siendo aprovechada activamente contra sitios WordPress que utilizan el complemento King Addons para Elementor, una herramienta con más de 10,000 instalaciones activas. El fallo, identificado como CVE-2025-8489 con una gravedad de 9.8, permite que atacantes no autenticados se registren directamente como administradores y tomen control total del sitio.
Cómo funciona el ataque
El problema se origina en las versiones 24.12.92 hasta 51.1.14 del complemento, donde la función interna handle_register_ajax() no realiza controles adecuados sobre el rol asignado a nuevos usuarios. Bastó con enviar una solicitud manipulada al endpoint /wp-admin/admin-ajax.php e indicar el rol “administrador” para que un atacante obtuviera privilegios elevados sin autenticación previa.
La vulnerabilidad fue solucionada en la versión 51.1.35, liberada el 25 de septiembre de 2025. Desde entonces, múltiples sitios aún sin actualizar continúan expuestos.
Ataques detectados y actividad maliciosa
Según datos recientes, los intentos de explotación aumentaron significativamente después de la divulgación pública del fallo a finales de octubre. Desde entonces se han bloqueado más de 48,400 intentos de ataque, con actividad continua en las últimas 24 horas.
Algunas de las direcciones IP desde donde se han registrado intentos de abuso incluyen:
- 45.61.157.120
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
- 2602:fa59:3:424::1
Los primeros indicios de actividad maliciosa se remontan al 31 de octubre de 2025, mientras que la explotación masiva comenzó alrededor del 9 de noviembre de 2025.
Entre los riesgos asociados se encuentran la instalación de código malicioso, redirecciones a sitios fraudulentos, campañas de spam o incluso el uso del sitio comprometido como plataforma para nuevos ataques.
Recomendaciones para administradores
Los sitios que utilizan King Addons deben:
- Actualizar inmediatamente a la versión más reciente del complemento.
- Revisar la lista de usuarios administradores en busca de accesos sospechosos.
- Monitorear registros y actividad del sitio para identificar comportamientos anómalos o cargas de archivos no autorizadas.
Mantener los componentes del CMS actualizados y supervisar cambios no autorizados sigue siendo clave para proteger la infraestructura web ante campañas de explotación activas como esta.
