Die Lücke war seit Ende September 2025 gepatcht, die Angreifer kamen einen Tag nach der Offenlegung. Seitdem zählt Wordfence über 48.400 blockierte Ausnutzungsversuche gegen das WordPress-Plugin King Addons for Elementor. Wer auf einer der rund 10.000 verwundbaren Installationen sitzt und das Update noch immer nicht eingespielt hat, hat statistisch gesehen schon Admin-Konten, die nicht zur Belegschaft gehören.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze:
- CVE-2025-8489, CVSS 9.8: Unauthentifizierte Privilege Escalation, betroffene Versionen 24.12.92 bis 51.1.14.
- Patch seit 25. September 2025 verfügbar (Version 51.1.35), aktive Ausnutzung ab 31. Oktober.
- 48.400+ blockierte Angriffe bei Wordfence, Massen-Welle ab 9. November 2025.
- Mechanik: Angreifer registrieren sich per POST an admin-ajax.php direkt als Administrator.
Wie funktioniert die Lücke genau?
Privilege Escalation im Registrierungs-Handler. Die Funktion handle_register_ajax() akzeptierte den vom Benutzer übergebenen user_role-Parameter ohne Validierung. Wer eine POST-Anfrage an /wp-admin/admin-ajax.php schickt und darin user_role=administrator setzt, bekommt genau das: ein Admin-Konto ohne Authentifizierung. Kein Passwort-Bruteforce, kein Phishing, kein Social Engineering. Ein einziger curl-Aufruf reicht.
CVSS 9.8 ist das obere Ende der Skala. Der Score begründet sich aus drei Faktoren: keine Authentifizierung nötig, voller Site-Übernahme möglich, einfach automatisierbar. Genau diese Kombination zieht Botnetze magisch an.
Warum dauert die Welle bis heute an?
Update-Lücken in der Plugin-Ökonomie. Das Plugin wurde am 25. September gepatcht, öffentlich offengelegt am 30. Oktober. Wer Auto-Updates aktiv hatte und auf wordpress.org-Repository-Sync setzt, war seit Anfang Oktober sicher. Wer manuell pflegt und im Spätherbst die Update-Routine schleifen ließ, fängt jetzt noch Angriffe ein.
Konkrete Angreifer-IPs sind bekannt. Wordfence dokumentiert die Hauptquellen: 45.61.157.120, 182.8.226.228, 138.199.21.230, 206.238.221.25 und IPv6 2602:fa59:3:424::1. Diese Adressen gehören in jede Web-Application-Firewall-Blockliste, die etwas auf sich hält.
Eine Sicherheitslücke wird nicht weniger gefährlich, weil sie alt ist. Sie wird gefährlicher, weil die Angreifer inzwischen automatisierte Werkzeuge dafür haben.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Betreiber jetzt prüfen?
King Addons updaten auf 51.1.35 oder höher. Wer das Plugin nicht aktiv nutzt, sollte es restlos deinstallieren. Inaktive Plugins sind keine schlafenden Plugins, die Dateien liegen weiterhin auf dem Server und können je nach Konfiguration angefahren werden.
Admin-Konten auditieren. Unter Benutzer → Alle Benutzer nach unbekannten Administrator-Konten suchen, besonders solche, die nach dem 30. Oktober 2025 angelegt wurden. Verdächtige Merkmale: Zufalls-Benutzernamen, generische E-Mail-Adressen, keine letzte Aktivität.
Server-Logs prüfen. POST-Requests an /wp-admin/admin-ajax.php mit dem Parameter action=king_addons_user_register sind das eindeutige Signal eines Ausnutzungsversuchs. Wer Apache- oder Nginx-Logs nicht regelmäßig sichtet, sollte das spätestens jetzt nachholen oder automatisieren.
Im Verdachtsfall Vollbild-Backup einspielen. Wenn ein fremdes Admin-Konto entdeckt wird, reicht das Löschen des Kontos nicht. Eine kompromittierte WordPress-Installation kann zusätzliche Backdoors in Themes, Plugins oder Datenbank-Tabellen verstecken. Sauberer Weg: Backup von vor dem Vorfall einspielen, Passwörter aller Konten neu setzen, Salt-Keys in wp-config.php rotieren.
Was bedeutet das strategisch für die WordPress-Welt?
Die Episode zeigt das strukturelle Problem mit kleinen Premium-Plugins. King Addons hat „nur“ rund 10.000 Installationen, ist also weit weg von der Elementor-Hauptklasse mit zehn Millionen. Genau das macht es zum bevorzugten Ziel. Kleinere Plugins haben weniger Sicherheits-Aufmerksamkeit, langsamere Patch-Zyklen und Anwender, die seltener proaktiv updaten.
Die klassische Login-Hygiene hilft gegen diese Klasse von Angriffen übrigens null. Die Lücke umgeht die gesamte Login-Strecke. Was hilft, ist striktes Update-Management. Eine professionelle WordPress-Wartung kostet einen Bruchteil dessen, was ein gehackter Shop an Umsatz und Aufräumarbeiten verliert.
Mehr Newshunger?
