В популярном WordPress-плагине OttoKit (ранее известном как SureTriggers) обнаружены две критические уязвимости, которые активно эксплуатируются злоумышленниками. Плагин, установленный на более чем 100 000 сайтов, содержит серьезные бреши в безопасности, требующие немедленного обновления.

Первая уязвимость, зарегистрированная как CVE-2025-27007, имеет критический рейтинг CVSS 9.8 и представляет собой брешь повышения привилегий. Проблема затрагивает все версии плагина до 1.0.82 включительно. Уязвимость возникает из-за отсутствия проверки возможностей в функции create_wp_connection() и недостаточной верификации учетных данных пользователя. Это позволяет неаутентифицированным злоумышленникам устанавливать соединение с сайтом и повышать свои привилегии.
Вторая уязвимость, обозначенная как CVE-2025-3102, имеет рейтинг CVSS 8.1 и также активно эксплуатируется в интернете с прошлого месяца. Обе бреши представляют серьезную угрозу для безопасности сайтов, использующих уязвимые версии OttoKit.
Согласно данным исследователей безопасности из Wordfence, первые случаи эксплуатации уязвимостей могли начаться уже 2 мая 2025 года, а массовая эксплуатация была зафиксирована с 4 мая 2025 года. Это указывает на то, что злоумышленники быстро обнаружили и начали использовать эти уязвимости.
Специалисты Wordfence идентифицировали несколько IP-адресов, с которых осуществляются атаки: 2a0b:4141:820:1f4::2, 41.216.188.205, 144.91.119.115, 194.87.29.57, 196.251.69.118, 107.189.29.12, 205.185.123.102, 198.98.51.24, 198.98.52.226 и 199.195.248.147. Эти адреса следует блокировать на уровне брандмауэра для дополнительной защиты.
Для устранения уязвимостей разработчики OttoKit выпустили исправленную версию 1.0.83. Всем пользователям настоятельно рекомендуется немедленно обновить плагин до этой версии. Промедление с обновлением может привести к компрометации сайта и получению злоумышленниками административного доступа.
Учитывая высокий рейтинг CVSS и активную эксплуатацию в дикой природе, эти уязвимости представляют непосредственную угрозу. Администраторам сайтов рекомендуется не только обновить плагин, но и проверить свои системы на наличие признаков компрометации, особенно если уязвимые версии использовались в течение мая 2025 года.
Данный инцидент подчеркивает важность регулярного обновления плагинов WordPress и мониторинга сообщений о безопасности от разработчиков и исследовательских групп, таких как Wordfence, которые играют ключевую роль в обнаружении и раскрытии подобных уязвимостей.

Изображение носит иллюстративный характер
Первая уязвимость, зарегистрированная как CVE-2025-27007, имеет критический рейтинг CVSS 9.8 и представляет собой брешь повышения привилегий. Проблема затрагивает все версии плагина до 1.0.82 включительно. Уязвимость возникает из-за отсутствия проверки возможностей в функции create_wp_connection() и недостаточной верификации учетных данных пользователя. Это позволяет неаутентифицированным злоумышленникам устанавливать соединение с сайтом и повышать свои привилегии.
Вторая уязвимость, обозначенная как CVE-2025-3102, имеет рейтинг CVSS 8.1 и также активно эксплуатируется в интернете с прошлого месяца. Обе бреши представляют серьезную угрозу для безопасности сайтов, использующих уязвимые версии OttoKit.
Согласно данным исследователей безопасности из Wordfence, первые случаи эксплуатации уязвимостей могли начаться уже 2 мая 2025 года, а массовая эксплуатация была зафиксирована с 4 мая 2025 года. Это указывает на то, что злоумышленники быстро обнаружили и начали использовать эти уязвимости.
Специалисты Wordfence идентифицировали несколько IP-адресов, с которых осуществляются атаки: 2a0b:4141:820:1f4::2, 41.216.188.205, 144.91.119.115, 194.87.29.57, 196.251.69.118, 107.189.29.12, 205.185.123.102, 198.98.51.24, 198.98.52.226 и 199.195.248.147. Эти адреса следует блокировать на уровне брандмауэра для дополнительной защиты.
Для устранения уязвимостей разработчики OttoKit выпустили исправленную версию 1.0.83. Всем пользователям настоятельно рекомендуется немедленно обновить плагин до этой версии. Промедление с обновлением может привести к компрометации сайта и получению злоумышленниками административного доступа.
Учитывая высокий рейтинг CVSS и активную эксплуатацию в дикой природе, эти уязвимости представляют непосредственную угрозу. Администраторам сайтов рекомендуется не только обновить плагин, но и проверить свои системы на наличие признаков компрометации, особенно если уязвимые версии использовались в течение мая 2025 года.
Данный инцидент подчеркивает важность регулярного обновления плагинов WordPress и мониторинга сообщений о безопасности от разработчиков и исследовательских групп, таких как Wordfence, которые играют ключевую роль в обнаружении и раскрытии подобных уязвимостей.