一款热门 WordPress 插件曝出 严重安全漏洞,已引发大规模攻击尝试,威胁者正试图通过注册管理员账户夺取漏洞网站控制权。
Wordfence 最新报告显示,漏洞影响 King Addons for Elementor 插件(超 10,000 个站点安装),编号 CVE-2025-8489,CVSS 评分 9.8(严重),属于最高风险等级。
该漏洞是典型的 权限提升 案例,根源在于用户注册过程中 缺乏输入验证。
插件通过 handle_register_ajax() 函数处理新账户注册。正常情况下,注册表单应强制新用户为低权限角色(如“订阅者”),但 King Addons 的代码 盲目接受用户输入的角色定义。
报告解释:“此函数实现存在安全缺陷,未授权攻击者可无限制指定角色,意味着他们可直接赋予自己管理员权限。”
攻击者只需修改注册请求,添加参数 user_role=administrator,即可绕过所有安全检查,瞬间成为网站管理员。
漏洞披露与实际攻击几乎 无缝衔接:
- 补丁发布:2025年9月25日
- 公开披露:2025年10月30日
- 攻击开始:2025年10月31日
“我们记录显示,攻击者在公开披露次日(10月31日)就开始利用该漏洞。”此后攻击量呈爆发式增长:“Wordfence 防火墙已拦截超 48,400 次针对该漏洞的利用尝试。”
由于漏洞允许 直接获取管理员权限,潜在危害极其严重:“与所有权限提升漏洞一样,此漏洞可导致网站完全沦陷。”
攻击者获得管理员权限后可:
- 上传恶意文件:包括插件和主题文件(恶意 zip 包可包含后门)
- 劫持流量:修改文章和页面,将用户重定向至恶意网站或注入垃圾内容
Wordfence 已识别多个集中攻击此漏洞的 IP 地址,管理员应检查访问日志,重点关注以下来源:
- 45.61.157.120(超 28,900 次拦截请求)
- 2602:fa59:3:424::1(超 16,900 次拦截请求)
- 182.8.226.228
- 138.199.21.230
- 206.238.221.25
该漏洞影响插件 24.12.92 至 51.1.14 版本,已在 51.1.35 版本 修复。
发表评论
您还未登录,请先登录。
登录