WordPress-sites worden actief aangevallen via een kwetsbaarheid in een uitbreiding voor Elementor. Dat laat securitybedrijf Wordfence weten. Elementor is een zogeheten "page builder" plug-in die de standaard WordPress-editor vervangt. Het biedt gebruikers meer vrijheid en mogelijkheden voor het vormgeven van hun WordPress-site en introduceert allerlei extra functionaliteit. Meer dan tien miljoen WordPress-sites maken gebruik van Elementor.

Voor Elementor zijn ook weer allerlei plug-ins en utibreidingen beschikbaar, waaronder "King Addons for Elementor". Deze uitbreiding, die op meer dan tienduizend sites actief is, biedt allerlei templates en widgets die binnen Elementor zijn te gebruiken. Een kwetsbaarheid in de uitbreiding zorgt ervoor dat gebruikers tijdens het registreren bij een website kunnen aangeven welke rol ze willen hebben. Zo is het mogelijk voor een ongeauthenticeerde aanvaller om zich als administrator te registreren en zo controle over de website te krijgen.

De kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 is beoordeeld met een 9.8, werd op 25 september met versie 51.1.35 verholpen. In de release notes wordt echter nergens het bestaan van de kwetsbaarheid vermeld. Er wordt alleen gesproken over "security improvements" en "security enhancements". Op 30 oktober werden details over de kwetsbaarheid openbaar gemaakt, de volgende dag werd het eerste misbruik waargenomen, aldus Wordfence. Het is onduidelijk hoeveel websites met King Addons for Elementor nog precies kwetsbaar zijn. Cijfers van WordPress.org suggereren dat het om duizenden websites gaat.