Uma vulnerabilidade crítica, identificada como CVE-2025-8489, foi descoberta no plugin King Addons para Elementor, utilizado em mais de 10.000 sites WordPress. Com uma pontuação CVSS de 9.8, essa falha permite que atacantes não autenticados obtenham privilégios administrativos ao se registrarem como usuários com a função de administrador. A vulnerabilidade afeta as versões do plugin entre 24.12.92 e 51.1.14 e foi corrigida na versão 51.1.35, lançada em 25 de setembro de 2025. O problema reside na função ‘handle_register_ajax()’, que não restringe adequadamente os papéis que os usuários podem registrar. Desde a divulgação pública da falha, a empresa de segurança Wordfence bloqueou mais de 48.400 tentativas de exploração, com ataques ativos registrados desde o final de outubro de 2025. Administradores de sites são aconselhados a atualizar para a versão mais recente do plugin e a auditar seus ambientes em busca de usuários administrativos suspeitos.
Fonte: https://thehackernews.com/2025/12/wordpress-king-addons-flaw-under-active.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
03/12/2025 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica no plugin King Addons para Elementor
RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-8489 no plugin King Addons para Elementor permite que atacantes não autenticados se registrem como administradores, comprometendo a segurança de sites WordPress. A exploração ativa já foi observada, e a correção está disponível. A situação requer atenção imediata dos CISOs para evitar danos significativos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a recuperação de dados e reputação após um ataque.
Operacional
Possibilidade de controle total do site, upload de código malicioso e redirecionamento de visitantes.
Setores vulneráveis
['Setores que utilizam WordPress para gerenciamento de conteúdo']
📊 INDICADORES CHAVE
Mais de 48.400 tentativas de exploração bloqueadas.
Indicador
75 tentativas de exploração bloqueadas nas últimas 24 horas.
Contexto BR
Plugin tem mais de 10.000 instalações ativas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o plugin King Addons está na versão 51.1.35 ou superior.
2
Atualizar o plugin imediatamente e auditar usuários administrativos.
3
Monitorar logs de registro de usuários e atividades suspeitas no site.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de plugins amplamente utilizados, pois a exploração pode levar a compromissos severos de segurança.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
