Súlyos sérülékenységeket azonosítottak két WordPress bővítményében is, amelyeket a támadók már aktívan ki is használnak. Az egyik a King Addons for Elementor plugint-t érintő CVE‑2025‑8489 azonosítón nyomon követett, kritikus, jogosultság kiterjesztési sebezhetőség, amely lehetővé teszi, hogy a támadók a regisztrációs folyamat során adminisztrátori jogosultságot szerezzenek.
A King Addons egy, az Elementor vizuális oldalkészítő funkcionalitását kibővítő külső fejlesztésű modul.
A sérülékenységet október 31-én kezdték el kihasználni, egy nappal a nyilvános közzététel után. A bővítmény regisztrációs kezelője lehetővé teszi, hogy bárki tetszőleges, akár adminisztrátori szerepkört adjon meg saját felhasználójának. A támadók ennek kihasználásához speciálisan összeállított „admin-ajax[.]php” kéréseket küldenek, amelyekben a „user_role=administrator” paraméterrel hoznak létre jogosulatlan adminfiókokat.
A bővítmény fejlesztője a 51.1.35-ös verzióban javította a sérülékenységet, ezért azonnali frissítés javasolt.
A Wordfence kutatói emellett egy másik, kritikus sérülékenységre is figyelmeztetnek, az Advanced Custom Fields: Extended bővítményben. A 0.9.0.5–0.9.1.1 verziókat érintő CVE‑2025‑13486 azonosítón nyomon követett sebezhetőség lehetővé teszi az autentikáció nélküli távoli kódfuttatást, azáltal, hogy a plugin felhasználói bemenetet továbbít a call_user_func_array() függvénynek. A sérülékenység kihasználása tetszőleges kódfuttatást, hátsó ajtók telepítését, valamint új adminisztrátori fiókok létrehozását teheti lehetővé. A sebezhetőséget november 18-án jelentették a fejlesztőnek, aki másnap kiadta a javított, 0.9.2-es verziót.
A weboldal‑üzemeltetőknek javasolt mielőbb a legfrissebb verzióra frissíteni, vagy szükség esetén letiltani a bővítményt.
