Sebuah kerentanan kritis ditemukan pada plugin King Addons for Elementor di WordPress, yang memungkinkan penyerang mendapatkan hak administrator saat proses registrasi. Celah ini dilacak sebagai CVE-2025-8489 dan sudah aktif dieksploitasi sejak akhir Oktober.
🔎 Detail Kerentanan King Addons (CVE-2025-8489)
- Masalah: registration handler plugin memungkinkan pengguna baru menentukan user_role=administrator tanpa pembatasan.
- Dampak: penyerang dapat membuat akun admin palsu.
- Eksploitasi: melalui request ke
admin-ajax.php. - Aktivitas: lebih dari 48.400 upaya serangan telah diblokir oleh Wordfence.
- IP paling aktif:
- 45.61.157.120 (28.900 attempts)
- 2602:fa59:3:424::1 (16.900 attempts)
- Solusi: upgrade ke versi 51.1.35 (rilis 25 September) yang sudah menutup celah ini.
⚠️ Kerentanan Lain: Advanced Custom Fields Extended (CVE-2025-13486)
- Plugin populer dengan 100.000+ instalasi aktif.
- Versi terdampak: 0.9.0.5 – 0.9.1.1.
- Masalah: fungsi menerima input user lalu melewati
call_user_func_array(), memungkinkan eksekusi kode arbitrer. - Dampak: penyerang tidak terautentik bisa menyuntikkan backdoor atau membuat akun admin baru.
- Penemuan: dilaporkan oleh Marcin Dudek (CERT Polandia) pada 18 November.
- Solusi: update ke versi 0.9.2, dirilis sehari setelah laporan.
🛡️ Rekomendasi untuk Admin Website
- Segera update plugin King Addons ke v51.1.35.
- Update Advanced Custom Fields Extended ke v0.9.2.
- Periksa log file untuk IP mencurigakan.
- Waspadai adanya akun administrator baru yang tidak sah.
- Jika tidak bisa update, nonaktifkan plugin sementara untuk mencegah eksploitasi.
Kesimpulan
Dua kerentanan kritis ini menunjukkan betapa pentingnya patch management di ekosistem WordPress. Dengan jutaan situs bergantung pada plugin pihak ketiga, keterlambatan update bisa membuka peluang besar bagi serangan otomatis berskala masif.
Sumber: Wordfence, Defiant, CERT Polandia