全球數以百萬計的網站依賴 WordPress 及其龐大的外掛生態系統運行，因此任何高嚴重性的外掛漏洞都可能對網路安全構成巨大威脅。近期，WordPress 安全研究公司 Defiant 發出緊急警告，指出一個被廣泛使用的頁面建構器 Elementor 插件「King Addons for Elementor」中發現了極為危險的漏洞，該漏洞正被威脅行為者積極利用，對全球數千個網站構成直接威脅。此漏洞的嚴重性極高，因其允許攻擊者在未經身份驗證的情況下獲取管理員權限，造成網站的全面失控與資料洩漏。

根據 Defiant 報導，威脅行為者利用 King Addons for Elementor 最近發現的漏洞，對 WordPress 網站進行了攻擊。該漏洞被追蹤為 CVE-2025-8489（CVSS 評分為 9.8），屬於嚴重漏洞，被描述為權限提升問題，允許攻擊者獲得管理權限。 此漏洞影響 24.12.92 至 51.1.14 版本。 King Addons for Elementor 的維護人員在 9 月 25 日發布的插件版本 51.1.35 中修復了該問題。Defiant 解釋說，這個安全漏洞的存在是因為插件中處理註冊的功能實現得不夠安全。 WordPress 安全公司指出，一旦攻擊者獲得管理員權限，成功利用King Addons for Elementor 漏洞將導致整個網站被攻陷。攻擊者透過控制網站，可以上傳惡意檔案或修改內容，將使用者重新導向到惡意網站。建議使用者盡快將 King Addons for Elementor 更新至 51.1.35 或更高版本。

根據 Defiant 的威脅情報，攻擊者從 10 月底就開始針對此 CVE 進行主動攻擊，大規模利用則始於 11 月 9 日。由於 King Addons for Elementor 擁有超過 10,000 個活躍安裝量，且仍有數千個網站運行著易受攻擊的舊版本，這使得攻擊面極大。此漏洞的根本原因在於註冊功能允許未經身份驗證的攻擊者自由指定角色，進而授予自己最高管理員權限。這提醒所有 WordPress 網站管理者，必須將插件更新視為刻不容緩的任務，除了更新至 51.1.35 版本或更高版本以修補漏洞外，還應定期審查插件的安全性實施細節，並嚴格控制註冊流程，以防止類似的權限提升問題再次發生，確保網站內容和使用者資料的安全。