King Addons for Elementor 是一个商业 WordPress 插件,它通过额外的 网站构建器 小部件、模板和设计功能扩展了 Elementor 页面构建器,专家警告说,这个插件有两个严重的漏洞,允许威胁行为者完全接管易受攻击的网站。

在一份新的安全通告中,Patchstack 详细说明了两个漏洞:一个未经身份验证的任意文件上传漏洞(CVE-2025-6327),以及一个通过注册端点的权限提升漏洞(CVE-2025-6325)。前者的严重性评分为 10/10(严重),后者为 9.8/10(同样严重)。

这两个漏洞让威胁行为者可以把易受攻击的 WordPress 网站当作跳板。他们可以将代码或账户上传到网站,并利用这些账户执行导致完全网站妥协或数据盗窃的操作。

修复漏洞

修复漏洞

使用“King Addons 登录 | 注册表单”小部件的网站管理员应尽快更新插件至版本 51.1.37,因为这个补丁修复了这两个漏洞,并降低了潜在的网站被接管风险。

Patchstack 警告说:“这两个漏洞在常见配置下很容易被攻击,而且不需要身份验证。” “强烈建议立即进行修复。”

信息安全杂志(Infosecurity Magazine)表示,该供应商通过引入角色允许列表和输入清理,解决了两个版本的漏洞,而且现在的上传处理程序要求具备适当的权限,并严格执行文件类型验证。

King Addons for Elementor 是一个非常受欢迎的插件,拥有超过 10,000 名活跃用户。它提供了70多个小部件、650多个模板和4000多个页面部分,帮助用户在不需要太多编码知识的情况下搭建自己的网站。

发现 WordPress 插件和主题中的关键漏洞并不是新鲜事。

网络犯罪分子最常通过第三方扩展入侵和接管 WordPress 网站,所以用户总是被建议只保留自己用的插件,并确保它们随时更新到最新版本。