Duas vulnerabilidades críticas no plugin King Addons for Elementor estão colocando em risco mais de 10 mil sites WordPress. O plugin, voltado para expandir recursos do popular construtor de páginas Elementor, contém falhas que permitem a tomada total do controle do site por atacantes não autenticados. A primeira falha, catalogada como CVE-2025-6327, permite upload arbitrário de arquivos sem qualquer autenticação. Ela recebeu pontuação CVSS de 10, a mais alta na escala de gravidade.
A segunda falha, CVE-2025-6325, permite que usuários comuns consigam escalar privilégios e criar contas com acesso administrativo. Essa vulnerabilidade foi classificada com pontuação 9,8. Ambas as falhas são consideradas “trivialmente exploráveis” em ambientes comuns e não exigem que o invasor tenha credenciais prévias. Isso significa que qualquer visitante do site vulnerável pode explorá-las, facilitando ataques em massa. Combinadas, essas brechas permitem que um atacante envie arquivos maliciosos ao servidor e obtenha controle completo sobre a instalação do WordPress.
Em muitos casos, isso pode resultar em defacements, instalação de backdoors ou uso do site para campanhas maliciosas. A estimativa de impacto é de mais de 10 mil sites que utilizam versões vulneráveis do plugin. O problema é ainda mais crítico porque muitos desses sites podem não estar sendo ativamente mantidos ou atualizados. A equipe de desenvolvimento do King Addons lançou a versão 51.1.37 do plugin, que corrige as falhas por meio de melhorias como validação de permissões, filtragem de entradas e restrição de tipos de arquivos aceitos em uploads.
