A vulnerabilidade no Elementor do WordPress voltou ao centro das atenções após a confirmação de dois ataques ativos explorando falhas graves em plugins amplamente usados no ecossistema. Administradores, desenvolvedores e web designers devem agir imediatamente, pois as vulnerabilidades CVE-2025-8489 e CVE-2025-13486 já estão sendo utilizadas por cibercriminosos em campanhas reais contra sites WordPress. Este artigo apresenta de forma clara e prática o que está acontecendo, os riscos envolvidos e como corrigir rapidamente cada ponto para evitar comprometimentos.
Essas falhas afetam diretamente usuários do King Addons for Elementor e do Advanced Custom Fields: Extended, dois plugins populares que ampliam os recursos gráficos e estruturais do WordPress. Ambas permitem ataques críticos que vão desde escalonamento de privilégios até execução remota de código (RCE), colocando em risco total a integridade dos sites afetados. Se você utiliza qualquer um desses plugins, a atualização imediata não é apenas recomendada, mas obrigatória. Quem administra sites WordPress deve compreender o impacto, identificar os sinais e tomar ação urgente para bloquear tentativas de invasão antes que danos irreversíveis aconteçam. A seguir, detalhamos cada vulnerabilidade e como se proteger.
Detalhes do ataque: escalando privilégios com King Addons for Elementor
A falha CVE-2025-8489, presente no King Addons for Elementor, foi classificada como crítica devido à possibilidade de escalonamento de privilégios. Esta vulnerabilidade permite que um atacante, mesmo sem permissões elevadas, consiga manipular requisições enviadas ao arquivo admin-ajax.php, adicionando parâmetros maliciosos. Entre eles está o uso do campo user_role=administrator, que força o WordPress a criar um novo usuário com privilégios administrativos completos.
Essa brecha ocorre porque o plugin não valida adequadamente as solicitações recebidas, permitindo que funções sensíveis sejam acionadas via AJAX. Com isso, atacantes podem enviar requisições forjadas e criar administradores ocultos sem deixar sinais evidentes no painel principal. Em alguns casos observados por pesquisadores de segurança, esses administradores fantasmas se escondem usando nomes genéricos ou camuflados, dificultando a detecção rápida.
O risco de administradores fantasmas e a importância da correção
A criação de administradores fantasmas representa uma ameaça severa. Com esse tipo de acesso, o invasor controla completamente o site, podendo instalar backdoors, modificar conteúdos, injetar malware, redirecionar visitantes e até sequestrar o domínio. O impacto é comparável à perda total de controle do ambiente WordPress. Por isso, a atualização para a versão 51.1.35 do King Addons for Elementor é obrigatória para todos os usuários.
Essa versão contém a correção oficial para o problema e impede que novos usuários administrativos sejam criados por meios não autorizados. Quem já utiliza o plugin deve aplicar a correção imediatamente, revisar os registros de log e verificar cuidadosamente a lista de usuários administradores para garantir que não haja contas desconhecidas. A vulnerabilidade WordPress Elementor exige atenção imediata porque ataques com escalonamento de privilégios são rápidos, silenciosos e extremamente destrutivos.
A ameaça crítica de execução remota de código (RCE) no Advanced Custom Fields: Extended
A segunda ameaça ativa, registrada como CVE-2025-13486, afeta diretamente o plugin Advanced Custom Fields: Extended, uma ferramenta amplamente usada para criar campos personalizados avançados no WordPress. Neste caso, o risco é classificadamente ainda mais crítico: trata-se de uma vulnerabilidade de execução remota de código (RCE), que permite a um atacante executar comandos diretamente no servidor, mesmo sem autenticação.
O problema está no uso inadequado da função call_user_func_array(), que, quando não tratada corretamente, pode permitir a passagem de parâmetros externos manipuláveis. Isso abre a porta para que um invasor escolha e execute funções internas do WordPress ou até scripts PHP perigosos. Uma vez explorada, essa falha pode levar à instalação de shells remotos, controle total do servidor, roubo de dados sensíveis e manipulação completa de arquivos dentro do diretório de hospedagem.
Em testes de exploração publicados por especialistas, foi demonstrado que o ataque pode ser realizado por qualquer visitante sem login, o que amplia o alcance e a velocidade das tentativas automatizadas de invasão. Sites que utilizam ACF: Extended estão neste momento sob varreduras massivas de bots explorando a falha.
A urgência da atualização para a versão 0.9.2
Para corrigir a vulnerabilidade RCE no Advanced Custom Fields: Extended, a atualização para a versão 0.9.2 deve ser aplicada imediatamente. Essa atualização resolve o problema na função de chamada dinâmica e reforça a sanitização dos parâmetros recebidos. Como trata-se de uma falha explorável por usuários não autenticados, cada minuto sem a correção representa um risco significativo.
Sites que não podem aplicar a atualização de imediato devem considerar desativar temporariamente o plugin até que seja possível atualizar, em especial se estiverem em ambientes compartilhados ou expostos a grandes volumes de tráfego. A segurança de plugins Elementor e ferramentas complementares depende de correções rápidas e rotinas de monitoramento contínuo. A ameaça de RCE é uma das mais graves no universo WordPress, pois compromete não apenas o site, mas todo o servidor onde ele está hospedado.
O que fazer agora: guia de segurança e verificação para administradores de sites
A resposta adequada a essas falhas deve ser imediata e prática. Administradores que utilizam qualquer um dos plugins afetados precisam seguir alguns passos essenciais para mitigar o risco e garantir que seus sites não foram comprometidos. A seguir, listamos ações prioritárias e fáceis de realizar.
Atualize o King Addons for Elementor para a versão 51.1.35 e o Advanced Custom Fields: Extended para a versão 0.9.2 o mais rápido possível. Caso exista algum impedimento temporário, desative os plugins até que a correção possa ser aplicada. Acompanhe logs de acesso e procure por requisições anormais envolvendo admin-ajax.php, especialmente as que envolvam parâmetros de criação de usuários.
Verifique manualmente todos os administradores existentes no site. Procure por contas novas, nomes estranhos ou usuários criados nos últimos dias. Caso encontre algo suspeito, remova imediatamente, altere senhas e force um logoff de todas as sessões. Revise também cron jobs e plugins instalados recentemente, pois atacantes podem inserir backdoors persistentes.
Analise o ambiente de hospedagem e execute verificações antivírus em arquivos do site para identificar possíveis scripts de controle remoto. Se o site tiver backups recentes, mantenha-os protegidos e prontos para restauração caso seja encontrado algum arquivo comprometido. Por fim, habilite medidas de mitigação como firewall de aplicação (WAF), autenticação de dois fatores e limitação de acessos administrativos por IP.
Conclusão e impacto
As vulnerabilidades apresentadas, especialmente em um ecossistema tão utilizado como o WordPress, reforçam a importância de manter plugins e temas sempre atualizados. A combinação de escalonamento de privilégios no King Addons e RCE no ACF: Extended cria um cenário de alto risco que exige ação rápida e informada de todos os administradores e profissionais envolvidos em projetos web.
Proteger seu site significa proteger usuários, clientes e sua própria reputação digital. A melhor defesa contra ataques é uma postura de segurança ativa, com monitoramento constante e atualizações aplicadas imediatamente quando disponibilizadas. Verifique agora mesmo seus sites, aplique as correções e compartilhe este alerta com outros administradores para reduzir o alcance dos ataques em andamento.
