Plataforma
wordpress
Componente
king-addons
Corregido en
51.1.15
51.1.35
La vulnerabilidad CVE-2025-8489 es una elevación de privilegios que afecta al plugin King Addons for Elementor para WordPress. Esta falla permite a atacantes no autenticados registrarse con cuentas de usuario de nivel administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad se encuentra presente en las versiones desde 24.12.92 hasta 51.1.14, y se ha solucionado en la versión 51.1.35.
Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a la administración de un sitio WordPress que utilice el plugin King Addons for Elementor. Esto permitiría al atacante realizar cambios en el contenido del sitio, instalar malware, modificar la configuración del servidor o incluso tomar el control completo del sitio web. La falta de restricciones en los roles de usuario durante el registro facilita la creación de cuentas de administrador maliciosas, lo que representa un riesgo significativo para la integridad y confidencialidad de los datos del sitio. La gravedad de la vulnerabilidad se agrava por la popularidad del plugin, lo que significa que un gran número de sitios web podrían estar expuestos.
La vulnerabilidad CVE-2025-8489 fue publicada el 30 de octubre de 2025. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la gravedad de la vulnerabilidad (CRITICAL) indica un alto riesgo. Se recomienda aplicar la mitigación lo antes posible para evitar posibles ataques. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción.
Websites using the King Addons for Elementor plugin, particularly those with weak security configurations or shared hosting environments, are at significant risk. Sites with outdated WordPress installations or those lacking regular security updates are also highly vulnerable. Any site relying on this plugin for critical functionality is exposed.
• wordpress / composer / npm:
wp plugin list | grep 'King Addons for Elementor'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'register_user' /var/www/html/wp-content/plugins/king-addons-for-elementor/includes/class-ka-user-registration.php• wordpress / composer / npm:
wp plugin status | grep 'King Addons for Elementor'disclosure
Estado del Exploit
EPSS
44.30% (98% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-8489 es actualizar el plugin King Addons for Elementor a la versión 51.1.35 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear intentos de registro sospechosos o restringir el acceso a la página de registro a usuarios autenticados. Monitorear los registros del sitio web en busca de intentos de registro inusuales también puede ayudar a detectar y prevenir ataques. Después de la actualización, verifique que los roles de usuario se estén aplicando correctamente y que no se puedan crear cuentas de administrador no autorizadas.
Actualizar a la versión 51.1.35, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8489 is a critical vulnerability allowing unauthenticated attackers to create administrator accounts on WordPress sites using the King Addons for Elementor plugin, granting them full control.
You are affected if you are using King Addons for Elementor versions 24.12.92 through 51.1.14. Check your plugin version immediately.
Upgrade the King Addons for Elementor plugin to version 51.1.35 or later to patch the vulnerability. If immediate upgrade is not possible, restrict user registration.
While no confirmed exploitation has been publicly reported, the ease of exploitation and plugin's popularity make it a likely target.
Refer to the official King Addons for Elementor website and WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.