Chi usa WordPress con il plugin King Addons per Elementor dovrebbe aggiornare immediatamente. Una falla di sicurezza grave (identificata come CVE-2025-8489) permette a chiunque di creare account amministratore sul sito senza autenticazione.

Il problema riguarda le versioni dalla 24.12.92 alla 51.1.14 del plugin, che conta oltre 10.000 installazioni attive. Come riporta The Hacker News, la vulnerabilità è già sfruttata attivamente: Wordfence ha bloccato più di 48.000 tentativi di attacco da quando la falla è stata resa pubblica a fine ottobre, con attacchi di massa iniziati dal 9 novembre.

Come funziona l’attacco

La vulnerabilità risiede nella funzione di registrazione utenti del plugin, che non limita correttamente i ruoli assegnabili durante la creazione di un account. Un attaccante può semplicemente specificare “administrator” in una richiesta HTTP modificata e ottenere privilegi amministrativi completi sul sito.

Una volta dentro, può caricare codice malevolo, reindirizzare i visitatori verso siti pericolosi o iniettare spam.

La soluzione

Gli sviluppatori hanno rilasciato la versione 51.1.35 il 25 settembre 2025 che risolve il problema. Chi usa King Addons deve:

• Aggiornare immediatamente alla versione 51.1.35 o successiva
• Controllare la lista degli utenti amministratori per account sospetti
• Monitorare eventuali attività anomale sul sito

La vulnerabilità ha ricevuto un punteggio di gravità 9.8 su 10, quindi l’aggiornamento non è rimandabile!