Critical Elementor Plugin Vulnerability Let Attackers Takeover WordPress Site Admin Control
2025/12/03 CyberSecurityNews — WordPress プラグイン King Addons for Elementor に存在する深刻なセキュリティ脆弱性により、数千の Web サイトが乗っ取られる危険性があると、セキュリティ研究者が警告している。この脆弱性 CVE-2025-8489 を悪用する未認証の攻撃者は、このプラグインの安全でない登録機能を介して新規アカウントを作成し、完全な管理者権限を付与する可能性がある。
King Addons for Elementor は1万件以上のアクティブ・インストールを抱えているため、多くのサイト所有者にとって深刻な脅威となる。この脆弱性が影響を及ぼす範囲は、プラグイン・バージョン 24.12.92~51.1.14 となる。
Elementor プラグインの脆弱性
これらのバージョンでは、サインアップ時に割り当て可能なユーザー・ロールが、プラグインの登録コードにより適切に制限されない。そのため、攻撃者は WordPress の admin-ajax.php エンドポイントに細工したリクエストを送信し、user_role フィールドを administrator に設定できる。
その結果として、ログインや事前アクセス権の証明を必要とせずに、管理者権限を持つ新規アカウントの作成が可能となり、攻撃者による管理者権限の取得が生じ、サイトの完全な制御に至る。
| Attribute | Details |
|---|---|
| Vulnerability Name | King Addons for Elementor – Unauthenticated Privilege Escalation |
| CVE ID | CVE-2025-8489 |
| CVSS Rating | 9.8 (Critical) |
| Vulnerability Type | Unauthenticated Privilege Escalation |
| Affected Plugin | King Addons for Elementor |
したがって、攻撃者は、バックドアを備えた悪意のプラグインやテーマのインストール/投稿やページの改竄が可能になる。さらに、訪問者を悪意のある Web サイトにリダイレクトし、スパムやフィッシング・コンテンツを挿入する可能性も生じる。
この脆弱性は、サイト全体の侵害につながる危険性を有しており、CVSS:9.8 (Critical) と評価されている。このプラグイン開発者は、2025年9月25日の時点で修正版 51.1.35 をリリースし、この深刻な状況に対応している。
2025年8月4日に Wordfence は、この攻撃をブロックするファイアウォール・ルールを、Premium/Care/Response の顧客向けに追加した。また 2025年9月3日には、無料ユーザーにも同様の保護対策を導入している。しかし、2025年10月30日の情報公開直後から、この脆弱性は攻撃者たちにより積極的に悪用され始めている。
Wordfence のファイアウォールは、この脆弱性を悪用する 48,400 件以上の攻撃試行をブロックしている。その攻撃トラフィックは、特に 11月9日と10日に急増した。主要な攻撃元として特定された IP アドレスには、”45.61.157.120″ や “2602:fa59:3:424::1” などが含まれ、いずれも数万件の不正リクエストを生成している。
| IP Address | Blocked Requests |
|---|---|
| 45.61.157.120 | 28,900+ |
| 2602:fa59:3:424::1 | 16,900+ |
| 182.8.226.228 | 300+ |
| 138.199.21.230 | 100+ |
| 206.238.221.25 | 100+ |
Elementor 向け King Addons を使用している Web サイト所有者は、次の対策を講じる必要がある。
- バージョン 51.1.35 以降へと速やかにアップデートする。
- 不明または不審な管理者アカウントの存在を確認する。
- 攻撃元 IP からのリクエストの有無について、サーバ/アクセス・ログを確認する。
- コンテンツ/プラグイン/テーマに対する異常な変更の有無を監視する。
侵害の可能性が認められる場合には、専門のインシデント対応およびクリーンアップ・サービスを、速やかに利用することが推奨される。
King Addons for Elementor の登録機能が、ユーザー権限を正しく制限していないという脆弱性が発生しました。攻撃者が user_role を administrator に書き換えられる状態であり、ログインなしで管理者アカウントを作成できてしまう点が、きわめて深刻だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.