WordPress 外掛程式「King Addons for Elementor」中的 CVE-2025-8489 漏洞持續肆虐,未經驗證的攻擊者可取得管理員權限,影響超過 10,000 個網站。即使在 9 月發布補丁後,攻擊仍在繼續,僅一個月內就發生了數萬次攻擊嘗試。
WordPress 外掛程式「King Addons for Elementor」中發現了一個權限提升漏洞,報告編號為 CVE-2025-8489。
此漏洞允許未經身份驗證的攻擊者透過在使用者註冊期間指定管理員角色來建立具有管理員權限的帳戶。受影響的版本為 24.12.92 至 51.1.14,漏洞已在 2025 年 9 月 25 日發布的 51.1.35 版本中修復,隨後在 10 月發布的 51.1.37 版本中修復,該版本還修復了另一個漏洞。
截至撰寫本文時,解決此問題的最安全版本是 51.1.37 或更高版本。如果您使用的是較舊的版本,例如 51.1.35,則應立即更新至最新版本。
該外掛程式已安裝在超過 10,000 個網站上,Wordfence 報告稱,自 10 月底發佈公告以來,已攔截了數萬次攻擊嘗試。有消息指出,這些攻擊可能始於 2025 年 10 月 31 日左右,大規模利用可能發生在 11 月 9 日之後。
從: 
WordPress King外掛程式存在漏洞,目前正遭受攻擊,駭客可利用該漏洞建立管理員帳號。
【社論】
King Addons漏洞凸顯了在經營WordPress網站時正確設計權限的重要性。即使是很小的實作錯誤,例如使用者註冊時未充分驗證指定的角色,也可能導致整個網站被控制。
技術結構很簡單,問題的關鍵在於,未經身份驗證的請求可以發送到“/wp-admin/admin-ajax.php”,並且可以透過 handle_register_ajax() 函數指定管理員角色。使用無程式碼/低程式碼建立的網站往往不太關注這些“幕後權限檢查”,並且通常依賴插件。
Elementor及其插件極大地擴展了創作者和中小團隊的表達能力,但同時,也使得「誰負責確保安全,以及安全程度如何」的責任劃分變得模糊不清。這種單一插件造成的漏洞可能迅速蔓延至成千上萬個網站的架構,未來很可能會再次出現。
值得欣慰的是,研究員 Peter Thaleikis 負責任地披露了這一漏洞,該漏洞已在 NVD 和多個安全廠商的資料庫中註冊,並且已發布修補程式。展望未來,衡量 WordPress 營運的標準將不再是其是否存在“漏洞”,而是其營運成熟度,即其檢測 CVE 的速度以及在漏洞出現時實施更新和審計的能力。
我們不應簡單地將此事件斥為“WordPress很危險”,而應將其視為構建安全文化的一個例證,在這種文化中,人與技術協同發展,例如通過插件選擇、自動更新策略以及WAF和日誌監控的標準化安裝。所有參與網站開發和維運的人員都應該將此事件視為契機,重新審視自身專案的權限設計和更新流程,這將有助於預防未來問題的發生。
[術語]
CVE-2025-8489
這是分配給 King Addons for Elementor 中的權限提升漏洞的 CVE 標識符,也是在各種資料庫中共享的統一 ID。
CVSS評分9.8
這是一個數值指標,表示漏洞的嚴重程度,9.8 表示風險等級非常高,相當於「嚴重」。
admin-ajax.php
這是 WordPress 提供的用於處理 Ajax 請求的端點,也是一個 PHP 文件,外掛程式和主題使用它來實現非同步處理。
元素
這是一個 WordPress 頁面建立器插件,它是一款視覺化網站建立工具,可讓您使用拖放式使用者介面建立佈局。
[參考連結]
WordPress (外部)
它是一款開源內容管理系統,被世界各地的人們用於建立網站,其功能可以透過外掛程式和主題靈活擴展。
Elementor (外部)
一款頁面建立器,可讓您使用拖放操作建立 WordPress 網站設計,並附帶各種各樣的元件和模板。
Elementor 的 King 外掛程式(外部)
這是一個為 Elementor 提供額外小部件和模板的附加包,用於擴展網站的呈現方式。
Wordfence (外部)
此安全性外掛程式為 WordPress 提供防火牆和惡意軟體掃描功能,並發布漏洞資訊和攻擊流量。
NVD (外部)
該漏洞資料庫由美國國家標準與技術研究院 (NIST) 運營,匯總了 CVE 資訊和 CVSS 評分等官方安全資訊。
[參考影片]
[參考文章]
攻擊者正在積極利用 King Addons for Elementor 外掛程式(外部)中的關鍵漏洞
這是一份技術報告,詳細介紹了 King Addons 的 CVE-2025-8489 漏洞,包括受影響的版本、攻擊方法、觀察到的攻擊次數和 IP 位址,以及建議的應對措施。
WordPress Elementor外掛程式存在嚴重漏洞,已被攻擊者利用(外部)
這篇文章以新聞報導的形式概述了 King Addons 權限提升漏洞、未經授權建立管理員帳戶的風險、受影響的網站數量以及攻擊的時間軸。
King Addons 的漏洞使得任何人都可以成為 WordPress 管理員(外部人員)
這篇分析文章重點關注未經授權的使用者可以成為 WordPress 管理員這一事實,並解釋了技術背景、利用場景和觀察到的攻擊趨勢。
Elementor King外掛程式發現嚴重缺陷,影響10000個網站(外部連結)
該報告概述了 King Addons 中的幾個嚴重問題及其對超過 10,000 個網站的潛在影響,並解釋了漏洞的位置,包括 CVE-2025-8489。
CVE-2025-8489 影響、可利用性和緩解措施(外部)
這是一份技術參考資料,它從安全平台的角度簡潔地總結了 CVE-2025-8489 的影響範圍、利用的難易程度以及建議的緩解措施。
CVE-2025-8489 詳情 – NVD (外在)
關於 CVE-2025-8489 的官方漏洞資訊提供了 CVSS 評分、漏洞類型和受影響產品等基本資料。
Elementor 關鍵外掛漏洞可導致 WordPress 完全被控制(外部)
本文展示了 Elementor 外掛程式中的漏洞如何直接導致 WordPress 網站被完全控制,並解釋了攻擊鍊和防禦措施。
[編者註]
雖然這不是獨特的「零日」攻擊,而是由常見的設計缺陷觸發的漏洞,但其結果仍然可能導致管理員帳戶被盜用,從而立即損害您網站的信譽和讀者關係。
您是如何處理您管理或參與的網站的插件更新和權限設計的?如果您覺得有些方面您一直拖延著,我希望這篇文章能促使您重新思考這些問題。我希望這篇文章能為您邁出第一步提供一些想法。
