Gaál József

Kritikus WordPress-sebezhetőség: azonnal frissítsd a King Addons for Elementor bővítményt (CVE-2025-8489)
Hírek
a King Addons for Elementor bővítményben olyan sebezhetőséget találtak, amely lehetővé teszi, hogy bárki admin jogosultságú fiókot hozzon létre a weboldaladon

Gaál József

Az elmúlt hetekben egy rendkívül súlyos WordPress-biztonsági hiba borzolta a kedélyeket: a King Addons for Elementor bővítményben olyan sebezhetőséget találtak, amely lehetővé teszi, hogy bárki admin jogosultságú fiókot hozzon létre a weboldaladon — még akkor is, ha teljesen le van tiltva a regisztráció.
Mivel ezt a bővítményt több mint 10 000 WordPress-oldal használja világszerte, és a támadások már javában zajlanak, fontos, hogy te is azonnal ellenőrizd, érintett-e a weboldalad.

Most megmutatom, pontosan mi történt, miért veszélyes ez a hiba, és milyen lépéseket tegyél, hogy biztonságban tudd a WordPress-rendszeredet.

Mi a hiba lényege?

A probléma egy privilege escalation (jogosultság-kiterjesztési) sebezhetőség a bővítmény regisztrációs funkciójában.
A gondot a hibás handle_register_ajax() függvény okozza: a támadó egy manipulált AJAX-kéréssel teljes adminisztrátori hozzáféréssel rendelkező fiókot hozhat létre, mindenféle hitelesítés nélkül.

Ez mit jelent a gyakorlatban?

Egy támadó:

  • be tud lépni adminnak,
  • új pluginokat telepíthet (pl. malware-t),
  • módosíthatja a témát,
  • átirányíthatja a látogatóidat,
  • teljesen átveheti az oldalad feletti irányítást.

A legrosszabb forgatókönyv szerint az egész weboldaladat elveszítheted.

Érintett verziók

A sebezhetőség a következő verziókban található meg:

24.12.92 -> 51.1.14

A fejlesztők a hibát a 51.1.35 verzióban javították, így ha ennél régebbit használsz, az oldalad támadható.

A támadások már javában zajlanak

Ahogy a hiba részletei nyilvánosságra kerültek, a támadók azonnal lecsaptak.

A nagyobb biztonsági cégek szerint:

  • már több tízezer támadási kísérletet blokkoltak,
  • október végén jelentek meg az első próbálkozások,
  • novemberben pedig tömegesen indultak az automatizált támadások.

Ez azt jelenti, hogy ha a plugin telepítve van, nagy eséllyel már próbálkoztak feltörni az oldaladat — akkor is, ha nem járt sikerrel.

Mit tegyél most azonnal?

  1. Frissítsd a bővítményt

Legalább: 51.1.35
Ha nem használod aktívan -> távolítsd el, ne csak kapcsold ki.

  1. Nézd át a felhasználókat

Keresd a gyanús admin fiókokat (pl. random nevek: „test12”, „adm_user”, „kingadmin”, stb.).
Ha találsz ilyet -> töröld, és azonnal változtasd meg az admin jelszavakat.

  1. Vizsgáld át a fájlokat

Ellenőrizd, van-e:

  • gyanús bővítmény,
  • ismeretlen téma,
  • új, nem általad létrehozott PHP-fájl.
  1. Kapcsold be a kétfaktoros belépést (2FA)

Ez sok olyan támadást megfog, amely jelszófeltörésre épít.

  1. Készíts rendszeresen mentést és auditot

Ha feltörik a weboldaladat, a mentés az egyetlen biztos visszaállítási lehetőség.

Mit tanulhatsz az esetből?

Ez a sebezhetőség ismét rámutat arra, hogy:

  • a WordPress-bővítmények óriási biztonsági kockázatot jelenthetnek,
  • nagyon fontos, hogy csak megbízható, aktívan fejlesztett pluginokat használj,
  • rendszeresen frissíts mindent — azonnal, amikor elérhető lesz az új verzió,
  • felesleges bővítményt soha ne tarts telepítve.

Ha bizonytalan vagy abban, hogy a te weboldalad érintett-e,
👉 kérj tőlünk ingyenes weboldalellenőrzést, és átnézzük helyetted:

Összegzés

  • Kritikus hiba volt a King Addons Elementor-kiegészítőben (CVE-2025-8489).
  • A támadók aktívan kihasználják.
  • A sebezhetőség admin fiók létrehozására ad lehetőséget.
  • Ha a plugin telepítve van → azonnal frissíts vagy töröld.
  • Ellenőrizd a felhasználókat és az aktivitást a WordPress-ben.
  • Ha kell, szívesen segítünk az átvizsgálásban.