Vulnerabilidade crítica deixa milhares de sites WordPress expostos

Uma vulnerabilidade de gravidade crítica no plugin King Addons for Elementor, utilizado em mais de dez mil instalações WordPress, está a ser explorada para assumir o controlo total de sites. A Defiant, que detetou a atividade, contabiliza cerca de cinquenta mil tentativas de exploração.

A falha, identificada como CVE-2025-8489 e com pontuação CVSS de 9,8, resulta de uma implementação insegura da função responsável por gerir inscrições. Esse erro permite que atacantes não autenticados definam o seu papel dentro do site sem qualquer restrição, o que na prática lhes dá margem para se promoverem a administradores e, a partir daí, comprometerem por completo o website.

O problema afeta as versões 24.12.92 a 51.1.14 do plugin. A equipa responsável pelo King Addons corrigiu a vulnerabilidade na versão 51.1.35, disponibilizada a 25 de setembro. No entanto, a Defiant refere que os ataques começaram cerca de um mês depois e que a atividade maliciosa pode ter arrancado ainda mais cedo, a 31 de outubro, intensificando-se a partir de 9 de novembro.

Com privilégios máximos, os cibercriminosos pode carregar ficheiros maliciosos, manipular conteúdos ou redirecionar visitantes para páginas fraudulentas. Apesar do patch já estar disponível, milhares de sites continuam a usar versões vulneráveis, de acordo com estatística do próprio WordPress.