WordPressプラグイン「King Addons for Elementor」のCVE-2025-8489が今なお猛威を振るい、未認証攻撃者が管理者権限を奪う事案が1万サイト以上に影を落としています。9月のパッチ後も攻撃が続き、わずか1ヶ月で数万件の悪用試行が発生 。
WordPressプラグイン「King Addons for Elementor」に、CVE-2025-8489として報告された権限昇格の脆弱性が確認されている。
この問題により、未認証の攻撃者がユーザー登録時にadministratorロールを指定することで、管理者権限を持つアカウントを作成できる。影響を受けるのはバージョン24.12.92から51.1.14であり、2025年9月25日にリリースされた51.1.35で修正されており、その後10月に別の脆弱性修正を含む51.1.37がリリースされている。
記事執筆時点での安全な対策版は51.1.37以降となる。51.1.35などの旧バージョンを利用している場合は、直ちに最新版へのアップデートが必要だ。
プラグインは1万以上のサイトにインストールされており、Wordfenceは10月末の公表以降、数万件規模の攻撃試行をブロックしたと報告している。攻撃は2025年10月31日頃から始まり、11月9日以降に大規模な悪用が行われている可能性が指摘されている。
From: 
WordPress King Addons Flaw Under Active Attack Lets Hackers Make Admin Accounts
【編集部解説】
今回のKing Addonsの脆弱性は、WordPressサイト運営における「権限設計」がどれだけ重要かを改めて突きつける事例です。ユーザー登録時に指定されたロールを十分に検証しないという、ごく小さな実装ミスが、そのままサイト全体の乗っ取りにつながっています。
技術的な構造はシンプルで、未認証のまま「/wp-admin/admin-ajax.php」に対してリクエストを送り、handle_register_ajax()を経由してadministratorロールを指定できてしまうことが問題の核心です。ノーコード/ローコードで構築されたサイトほど、このような「裏側の権限チェック」を意識しづらく、プラグイン任せの設計になりがちです。
Elementorやそのアドオンは、クリエイターや中小チームの表現力を大きく広げてきましたが、その一方で「誰がどこまでセキュリティを担保するのか」という責任分界が見えにくくなっています。今回のように、1つのプラグインに起因する脆弱性が、数千〜1万規模のサイトへ一気に波及する構造は、今後も繰り返し表面化してくるでしょう。
ポジティブな点として、この脆弱性は研究者Peter Thaleikisによって責任ある開示が行われ、NVDや複数のセキュリティベンダーDBに登録され、すでにパッチ版も提供されています。これからのWordPress運用は「脆弱性がゼロかどうか」ではなく、「CVEが出たときにどれだけ早く検知し、アップデートと監査を回せるか」という運用の成熟度が問われるフェーズに入っています。
このニュースを「WordPressは危ない」という話で終わらせるのではなく、プラグイン選定と自動更新ポリシー、WAFやログ監視の標準装備など、「人とテクノロジーの共進化」としてのセキュリティ文化づくりの一例として捉えたいと考えています。サイト制作や運用に関わる一人ひとりが、今回の事案をきっかけに、自分のプロジェクトの権限設計と更新フローを見直すことが、次のトラブルを未然に防ぐ一歩になっていきます。
【用語解説】
CVE-2025-8489
King Addons for Elementorにおける権限昇格の脆弱性に割り当てられたCVE識別子であり、各種データベースで共有されている統一IDである。
CVSSスコア 9.8
脆弱性の深刻度を数値で示す指標で、9.8は「Critical」に該当する非常に高い危険度を意味する。
admin-ajax.php
WordPressがAjaxリクエストを処理するために用意しているエンドポイントで、プラグインやテーマが非同期処理を実装する際に利用するPHPファイルである。
Elementor
WordPress向けのページビルダープラグインで、ドラッグ&ドロップのUIでレイアウトを構築できる可視的なサイト制作ツールである。
【参考リンク】
WordPress(外部)
世界中のWebサイト構築に使われるオープンソースCMSで、プラグインやテーマで柔軟に機能拡張できる。
Elementor(外部)
ドラッグ&ドロップ操作でWordPressサイトのデザインを構築できるページビルダーで、豊富なウィジェットとテンプレートを備える。
King Addons for Elementor(外部)
Elementor向けの追加ウィジェットやテンプレートを提供するアドオンパックで、サイト表現を拡張する目的で利用されている。
Wordfence(外部)
WordPress向けファイアウォールとマルウェアスキャンを提供するセキュリティプラグインで、脆弱性情報や攻撃トラフィックも公開している。
NVD(外部)
米国NISTが運営する脆弱性データベースで、CVE情報やCVSSスコアなど公式なセキュリティ情報を集約している。
【参考動画】
【参考記事】
Attackers Actively Exploiting Critical Vulnerability in King Addons for Elementor Plugin(外部)
King AddonsのCVE-2025-8489について、影響バージョンや攻撃手法、観測された攻撃回数とIP、推奨対策を詳細にまとめた技術レポートである。
Critical flaw in WordPress add-on for Elementor exploited in attacks(外部)
King Addonsの権限昇格脆弱性と管理者アカウント不正作成のリスク、影響サイト数や攻撃のタイムラインをニュース形式で整理している。
King Addons flaw lets anyone become WordPress admin(外部)
未認証ユーザーでもWordPress管理者になれてしまう点に焦点を当て、技術的背景や悪用シナリオ、観測された攻撃動向を解説する分析記事である。
Critical Flaws Found in Elementor King Addons Affect 10,000 Sites(外部)
King Addonsに存在する複数の重大な問題と、1万以上のサイトへの影響可能性を俯瞰し、CVE-2025-8489を含む脆弱性群の位置付けを説明している。
CVE-2025-8489 Impact, Exploitability, and Mitigation Steps(外部)
CVE-2025-8489の影響範囲や悪用のしやすさ、推奨される緩和策をセキュリティプラットフォームの視点からコンパクトに整理した技術リファレンスである。
CVE-2025-8489 Detail – NVD(外部)
CVE-2025-8489に関する公式な脆弱性情報として、CVSSスコアや脆弱性タイプ、影響製品などの基本データを提供している。
Critical Elementor Plugin Vulnerability Enables Complete WordPress Takeover(外部)
Elementor系プラグインの脆弱性がWordPressサイトの完全な乗っ取りに直結しうる点を示し、攻撃チェーンと防御策の観点から解説している。
【編集部後記】
今回取り上げたのは、決して特別な「ゼロデイ攻撃」ではなく、よくある設計ミスが引き金になった脆弱性でした。それでも、結果としては管理者アカウントの乗っ取りにつながり、サイトの信頼や読者との関係を一瞬で失う可能性があります。
あなたの運営している、あるいは関わっているサイトでは、プラグインの更新や権限設計をどう扱っているでしょうか。「なんとなく後回しにしていた」と感じる部分があれば、このニュースをきっかけに見直していただければうれしいです。今回の記事が、その第一歩を考えるヒントになれば幸いです。
