- O plugin King Addons tem duas falhas graves que podem tomar conta de todo o seu site WordPress.
- Bug que permite uploads não autorizados de arquivos e elevação de privilégios por meio de endpoints de registro
- Para corrigir ambas as vulnerabilidades, os usuários devem atualizar para a versão 51.1.37.
Especialistas alertaram que King Addons for Elementor, um plugin comercial para WordPress que estende o construtor de páginas Elementor com widgets, modelos e recursos de design adicionais para construtores de sites, tem duas vulnerabilidades sérias que podem permitir que agentes de ameaças assumam completamente o controle de sites vulneráveis.
Patchstack detalhou dois bugs em um novo comunicado de segurança: uma falha de upload de arquivo arbitrário não autenticado (CVE-2025-6327) e uma escalada de privilégios por meio de falha de endpoint de registro (CVE-2025-6325). O primeiro tem pontuação de gravidade 10/10 (crítico) e o segundo tem pontuação de gravidade 9,8/10 (crítico).
Ambos os bugs podem dar aos agentes de ameaças uma vantagem em sites WordPress vulneráveis. Eles podem trazer códigos ou contas para o seu site e usá-los para realizar ações que podem causar danos a todo o site ou resultar em roubo de dados.
correção de bug
Os administradores do site que usam o widget “King Addons Login | Formulário de registro” devem atualizar seu plugin para a versão 51.1.37 o mais rápido possível. Este patch corrige todas as vulnerabilidades e reduz o risco de possíveis invasões de sites.
“Ambas as vulnerabilidades podem ser facilmente exploradas em configurações típicas e não requerem autenticação”, alertou Patchstack. “Recomendamos que você aplique o patch imediatamente.”
Revista InfoSecurity O fornecedor disse que abordou ambas as versões da vulnerabilidade introduzindo lista de permissões de funções e recursos de limpeza de entrada, bem como um manipulador de upload que agora requer permissões apropriadas e impõe validação estrita de formato de arquivo.
King Addons for Elementor é um plugin popular com mais de 10.000 usuários ativos. Oferece mais de 70 widgets, mais de 650 modelos e mais de 4.000 seções de página para ajudar os usuários a criar sites sem amplo conhecimento de codificação.
Encontrar vulnerabilidades graves em complementos e temas do WordPress não é novidade.
Extensões de terceiros para a plataforma são a forma mais comum de os cibercriminosos comprometerem e assumirem o controle de sites WordPress. Portanto, recomendamos que os usuários mantenham sempre apenas os complementos que utilizam e garantam que estejam sempre atualizados para a versão mais recente.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed. Certifique-se de clicar no botão seguir!
Claro que você também pode Siga o TechRadar no TikTok Confira novidades, análises, unboxings em formato de vídeo e receba atualizações regulares. WhatsApp fazer.
