Source : Wordfence (blog). Contexte : une vulnérabilité critique d’élévation de privilèges dans le plugin WordPress King Addons for Elementor (>10 000 installations actives) est activement exploitée depuis fin octobre 2025. Le correctif est disponible depuis le 25 septembre 2025 (version 51.1.35).

🚨 Vulnérabilité et impact

  • La fonction d’inscription AJAX handle_register_ajax() accepte un paramètre user_role non restreint, permettant à un attaquant non authentifié de se créer un compte avec le rôle administrator.
  • Impact : compromission complète du site (installation de plugins/thèmes malveillants, backdoors, modification de contenus, redirections, injection de spam).

🗓️ Chronologie et statistiques

  • Signalement reçu : 24 juillet 2025.
  • Version corrigée publiée : 25 septembre 2025 (51.1.35).
  • Divulgation dans la base Wordfence Intelligence : 30 octobre 2025.
  • Début des attaques observées : 31 octobre 2025 ; pic de masse les 9–10 novembre 2025 🔥.
  • Blocages par le pare-feu Wordfence : > 48 400 tentatives.
  • Règle pare-feu Wordfence : Premium/Care/Response (4 août 2025), version gratuite (3 septembre 2025).
  • Recommandation Wordfence : mettre à jour vers 51.1.35 au plus vite.

🔍 Exemple d’exploitation (synthèse)

  • Cible : POST /wp-admin/admin-ajax.php
  • En-tête : Content-Type: application/x-www-form-urlencoded
  • Paramètres clés : action=king_addons_user_register, user_role=administrator (ainsi que username, email, password, etc.).

🧩 IOCs (indicateurs de compromission)

  • IPs à surveiller :
    • 45.61.157.120 (≈ 28 900 requêtes bloquées)
    • 2602:fa59:3:424::1 (≈ 16 900 requêtes bloquées)
    • 182.8.226.228 (≈ 300+)
    • 138.199.21.230 (≈ 100+)
    • 206.238.221.25 (≈ 100+)
  • Indice d’intrusion : comptes administrateur nouvellement créés.

🛠️ TTPs (techniques, tactiques et procédures)

  • Abus d’un endpoint AJAX WordPress (admin-ajax.php) pour l’inscription.
  • Falsification de rôle via le paramètre user_role=administrator.
  • Requête POST application/x-www-form-urlencoded avec action=king_addons_user_register.
  • Exploitation post-divulgation avec campagnes massives.

Article de type alerte de sécurité présentant les détails de la vulnérabilité, les données d’attaque observées et les indicateurs à surveiller.

🔗 Source originale : https://www.wordfence.com/blog/2025/12/attackers-actively-exploiting-critical-vulnerability-in-king-addons-for-elementor-plugin/