Критическая уязвимость OttoKit: создание администраторов в WordPress

Недавно обнаруженная уязвимость в плагине OttoKit (ранее известном как SureTriggers) позволяет злоумышленникам создавать фиктивные учетные записи администратора, что открывает доступ к управлению сайтом WordPress.
Критическая уязвимость OttoKit: создание администраторов в WordPress
Изображение носит иллюстративный характер

Проблема возникает из-за отсутствия проверки пустого значения параметра secret_key в функции autheticate_user. Уязвимость, получившая идентификатор CVE-2025-3102, оценена по шкале CVSS на 8.1, что свидетельствует о высокой степени опасности.

Затрагиваются все версии плагина до 1.0.78 включительно при условии, что OttoKit установлен и активирован, но не настроен с использованием API-ключа. Эти условия превращают проблему в реальную угрозу для определённого круга сайтов.

Эксплуатация уязвимости началась всего через несколько часов после её публичного раскрытия. Злоумышленники создают фиктивные учетные записи администратора, например, с именем «xtw1838783bc», что позволяет им загружать произвольные плагины, вносить вредоносные изменения и перенаправлять посетителей на сомнительные ресурсы.

Исследователь Майкл Маззолино (mikemyers) обнаружил проблему и сообщил о ней 13 марта 2025 года. Для устранения уязвимости разработчики выпустили обновление до версии 1.0.79 3 апреля 2025 года.

OttoKit объединяет различные приложения и плагины через автоматизированные рабочие процессы, облегчая выполнение рутинных задач. Несмотря на более чем 100 000 активных установок, риск возникновения угрозы ограничен теми сайтами, где плагин не настроен с API-ключом.

Анализ показывает, что атаки осуществляются с IPv6-адреса 2a01:e5c0:3167::2 и IPv4-адреса 89.169.15.201. Применение случайных вариаций учетных данных усложняет процесс отслеживания и блокировки подобных эксплойтов.

Владельцам сайтов WordPress рекомендуется немедленно обновить плагин до версии 1.0.79 или выше и провести аудит учетных записей для удаления несанкционированных администраторских привилегий.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка