Critical flaw in WordPress add-on for Elementor exploited in attacks

Vulnérabilités Critiques et Exploitation Active dans des Extensions WordPress

Des attaquants exploitent activement une faille de sécurité critique dans le module complémentaire King Addons pour Elementor, permettant une élévation de privilèges. Cette vulnérabilité, identifiée comme CVE-2025–8489, permet à quiconque s’inscrivant sur un site d’obtenir des droits d’administrateur sans aucune restriction. Plus de 48 400 tentatives d’exploitation ont déjà été bloquées.

Parallèlement, une autre vulnérabilité critique (CVE-2025-13486) a été découverte dans le plugin Advanced Custom Fields: Extended. Cette faille, affectant les versions 0.9.0.5 à 0.9.1.1, permet à un attaquant non authentifié d’exécuter du code à distance sur le serveur. Cette exploitation peut être utilisée pour injecter des backdoors ou créer de nouveaux comptes administrateurs.

Points Clés :

• King Addons pour Elementor :
  • Vulnérabilité : Élévation de privilèges (CVE-2025–8489) permettant l’obtention de droits d’administrateur lors de l’inscription.
  • Exploitation : Active depuis le 31 octobre, avec des tentatives notables provenant des adresses IP 45.61.157.120 et 2602:fa59:3:424::1.
  • Impact : Création de comptes administrateurs non autorisés.
• Advanced Custom Fields: Extended :
  • Vulnérabilité : Exécution de code à distance non authentifiée (CVE-2025-13486).
  • Exploitation : Une fois les détails techniques divulgués, une activité malveillante est anticipée.
  • Impact : Injection de backdoors, création de comptes administrateurs.

Recommandations :

• King Addons pour Elementor : Mettre à jour vers la version 51.1.35 ou ultérieure.
• Advanced Custom Fields: Extended : Mettre à jour vers la version 0.9.2 ou ultérieure, ou désactiver le plugin si la mise à jour n’est pas immédiate.
• Les administrateurs de sites doivent vérifier leurs journaux pour la présence de nouvelles adresses IP suspectes ou de comptes administrateurs inconnus.

Source