Заплахите активно се възползват от уязвимост в плъгина OttoKit за WordPress, като много уебсайтове могат да бъдат изложени на пълен компромис, предупреждава фирмата за сигурност на WordPress Defiant.
С предишно име SureTriggers, „OttoKit: е плъгин, който позволява на администраторите на уебсайтове да автоматизират задачи и да свързват приложения, уебсайтове и плъгини на WordPress.
Плъгинът има повече от 100 000 активни инсталации, което излага всички уебсайтове, които го използват, на риск от превземане поради заобикаляне на удостоверяването с висока степен на опасност, което може да позволи на нападателите да създават нови администраторски акаунти.
Проследен като CVE-2025-3102 (CVSS оценка 8.1), проблемът съществува поради липсваща проверка на празна стойност във функция, която извършва проверка на разрешенията.
Тъй като функцията сравнява само тайния ключ в заглавието с този в базата данни на приставката, атакуващият може да зададе празна стойност за тайния ключ и ако приставката не е конфигурирана, тя ще съответства на празната стойност на ключа в базата данни.
Това позволява на нападателя да получи достъп до крайната точка на REST API, която обработва различни действия, и да извърши различни операции, включително създаване на нов административен акаунт. Това би осигурило на нападателя пълен контрол над засегнатия сайт.
„[Нападателят] след това би могъл да манипулира всичко в целевия сайт, както би го направил нормален администратор. Това включва възможността да качва файлове на плъгини и теми, които могат да бъдат злонамерени zip файлове, съдържащи задни врати, и да модифицира публикации и страници, което може да се използва за пренасочване на потребителите на сайта към други злонамерени сайтове или за инжектиране на спам съдържание“, казва Defiant.
Дефектът в сигурността обаче може да бъде използван само ако плъгинът е инсталиран и активиран, но не е конфигуриран с API ключ, което означава, че само нови и неконфигурирани инсталации са податливи на атаки.
„Макар че над 100 000 сайта имат инсталирана тази приставка и съдържат уязвимостта, само малка подгрупа от сайтове действително ще може да бъде експлоатирана. Това се дължи на естеството на уязвимостта, която изисква плъгинът да е в неконфигурирано състояние за експлоатиране“, обяснява Defiant.
Фирмата за киберсигурност обаче също така предупреждава, че уязвимостта е била експлоатирана, като призовава потребителите на плъгина да актуализират до версия 1.0.79 или по-нова на OttoKit, които съдържат кръпки за грешката.
Defiant съобщи за проблема на разработчика на плъгина на 3 април и в същия ден беше пусната поправка. Според фирмата за сигурност изследователят, открил дефекта, е получил награда от 1024 долара.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
