1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. WordPress プラグイン「King Addons for Elementor」に管理者権限を奪取される深刻な脆弱性(CVE-2025-8489)、すでに攻撃が活発化

WordPress プラグイン「King Addons for Elementor」に管理者権限を奪取される深刻な脆弱性(CVE-2025-8489)、すでに攻撃が活発化

セキュリティニュース

投稿日時: 更新日時:

WordPress プラグイン「King Addons for Elementor」に管理者権限を奪取される深刻な脆弱性(CVE-2025-8489)、すでに攻撃が活発化

WordPress向けプラグイン「King Addons for Elementor」で、サイトの管理者権限を第三者に乗っ取られる深刻な脆弱性が見つかり、すでに多数の攻撃が確認されています。
このプラグインは有効インストール数が1万以上とされており、影響範囲は決して小さくありません。

本脆弱性は「CVE-2025-8489」として登録されており、CVSSスコアは 9.8(Critical)と評価されています。開発元はすでに修正版を公開していますが、公開直後から実際の攻撃が始まっており、利用中のサイトは早急な対応が必要です。

どのような脆弱性か:未認証でも「管理者アカウント」を作成可能

問題が見つかったのは、WordPressプラグイン
「King Addons for Elementor – Free Elements, Widgets, Templates, and Features for Elementor」 です。

  • 影響を受けるバージョン:24.12.92 ~ 51.1.14

  • 修正済みバージョン:51.1.35

  • 脆弱性の種別:未認証の権限昇格(Privilege Escalation)

  • CVE-ID:CVE-2025-8489

  • 重要度:Critical(9.8 / 10)

このプラグインには、ユーザー登録を処理する機能があり、Ajax経由で user_role という項目を受け取ってユーザーの権限を設定していました。本来であれば、一般ユーザーは「subscriber(購読者)」など限られた権限しか選べないよう制限するべきところ、このチェックが行われていませんでした。

その結果、ログインしていない攻撃者であっても、登録リクエストに user_role=administrator を含めることで、管理者権限を持つアカウントを自由に作成できる状態になっていたとされています。

管理者権限を奪取された場合、攻撃者は正規の管理者と同じように以下の操作が可能になります。

  • 任意のプラグイン・テーマのインストールや編集(バックドアの仕込みなど)

  • 投稿や固定ページの改ざん、スパムやフィッシングサイトへのリダイレクトの仕込み

  • 他ユーザーのアカウント乗っ取りや削除
    など、サイト全体の完全な乗っ取りにつながる非常に危険な脆弱性です。

いつから狙われているのか:公開翌日から攻撃が開始、数万件をブロック

この脆弱性は、2025年7月24日に報告され、その後、9月25日に修正版が公開されました。脆弱性情報は10月30日に公開されましたが、Wordfenceの観測によると、その翌日である10月31日から実際の攻撃が確認されたとしています。

さらに、11月9日・10日には攻撃のピークが確認され、
Wordfenceのファイアウォールだけで、すでに 48,400件以上の攻撃試行をブロックしたと報告されています。

セキュリティ製品側の対応としては、以下のようなスケジュールで防御ルールが配信されています。

  • 2025年8月4日:Wordfence Premium / Care / Response 利用者向けにファイアウォールルール配信

  • 2025年9月3日:無料版Wordfenceユーザーにも同ルールを配信

ただし、ファイアウォールで攻撃を防げていたとしても、
プラグイン本体が脆弱なバージョンのままの場合、別の経路や他ツールから攻撃されるリスクは残るため、アップデートは必須です。

攻撃の具体的な手口:登録フォームを悪用して管理者アカウントを作成

攻撃は主に、WordPressのAjaxエンドポイントである
/wp-admin/admin-ajax.php に対して行われています。

攻撃者は、次のようなパラメータを含む POST リクエストを送信し、未認証の状態から管理者アカウントを登録しようとします。

  • action=king_addons_user_register

  • username=...

  • email=...

  • password=...

  • user_role=administrator(ここが悪用ポイント)

本来であれば、user_role に指定できる値はサーバー側で厳しく制限されているべきですが、問題のバージョンではこの制御がなかったため、誰でも管理者権限のアカウントを作れてしまう構造になっていました。

攻撃元IPの傾向とブロック状況

Wordfenceの観測では、特に以下のIPアドレスからの攻撃が多く確認されています。

  • 45.61.157.120(約 28,900件の攻撃)

  • 2602:fa59:3:424::1(約 16,900件の攻撃)

  • 182.8.226.228(300件超)

  • 138.199.21.230(100件超)

  • 206.238.221.25(100件超)

もちろん、攻撃者はIPアドレスを切り替えながら攻撃を継続することが多いため、このリストに該当しないアクセスであっても安心とはいえません。ただし、管理者の方がログを確認する際の目安にはなります

出典

Attackers Actively Exploiting Critical Vulnerability in King Addons for Elementor Plugin

関連記事

WordPressのプラグイン WPformsなどに深刻な脆弱性-7万超のサイトに影響WordPressのプラグイン WPformsなどに深刻な脆弱性-7万超のサイトに影響 WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389)WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389) Oracle E-Business Suiteを狙う大規模なサイバー攻撃 キャンペーンOracle E-Business Suiteを狙う大規模なサイバー攻撃 キャンペーン Fortinet、FortiWeb「未認証管理者乗っ取り」ゼロデイ 脆弱性を修正、既にサイバー攻撃への悪用事例あり(CVE-2025-64446)Fortinet、FortiWeb「未認証管理者乗っ取り」ゼロデイ 脆弱性を修正、既にサイバー攻撃への悪用事例あり(CVE-2025-64446) Uncanny Automatorプラグインに深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】WordPressのプラグイン「Uncanny Automator」に深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】 WordPress テーマ Jobmonsterに深刻な脆弱性(CVE-2025-5397)WordPress テーマ Jobmonsterに深刻な脆弱性(CVE-2025-5397) Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572) ロンドンのNHS病院、2024年のランサムウェアによるサイバー攻撃で患者が死亡ロンドンのNHS病院、2024年のランサムウェアによるサイバー攻撃で患者が死亡 WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃