Заплахите активно се възползват от уязвимост в плъгина OttoKit за WordPress, като много уебсайтове могат да бъдат изложени на пълен компромис, предупреждава фирмата за сигурност на WordPress Defiant.
С предишно име SureTriggers, „OttoKit: е плъгин, който позволява на администраторите на уебсайтове да автоматизират задачи и да свързват приложения, уебсайтове и плъгини на WordPress.
Плъгинът има повече от 100 000 активни инсталации, което излага всички уебсайтове, които го използват, на риск от превземане поради заобикаляне на удостоверяването с висока степен на опасност, което може да позволи на нападателите да създават нови администраторски акаунти.
Проследен като CVE-2025-3102 (CVSS оценка 8.1), проблемът съществува поради липсваща проверка на празна стойност във функция, която извършва проверка на разрешенията.
Тъй като функцията сравнява само тайния ключ в заглавието с този в базата данни на приставката, атакуващият може да зададе празна стойност за тайния ключ и ако приставката не е конфигурирана, тя ще съответства на празната стойност на ключа в базата данни.
Това позволява на нападателя да получи достъп до крайната точка на REST API, която обработва различни действия, и да извърши различни операции, включително създаване на нов административен акаунт. Това би осигурило на нападателя пълен контрол над засегнатия сайт.
„[Нападателят] след това би могъл да манипулира всичко в целевия сайт, както би го направил нормален администратор. Това включва възможността да качва файлове на плъгини и теми, които могат да бъдат злонамерени zip файлове, съдържащи задни врати, и да модифицира публикации и страници, което може да се използва за пренасочване на потребителите на сайта към други злонамерени сайтове или за инжектиране на спам съдържание“, казва Defiant.
Дефектът в сигурността обаче може да бъде използван само ако плъгинът е инсталиран и активиран, но не е конфигуриран с API ключ, което означава, че само нови и неконфигурирани инсталации са податливи на атаки.
„Макар че над 100 000 сайта имат инсталирана тази приставка и съдържат уязвимостта, само малка подгрупа от сайтове действително ще може да бъде експлоатирана. Това се дължи на естеството на уязвимостта, която изисква плъгинът да е в неконфигурирано състояние за експлоатиране“, обяснява Defiant.
Фирмата за киберсигурност обаче също така предупреждава, че уязвимостта е била експлоатирана, като призовава потребителите на плъгина да актуализират до версия 1.0.79 или по-нова на OttoKit, които съдържат кръпки за грешката.
Defiant съобщи за проблема на разработчика на плъгина на 3 април и в същия ден беше пусната поправка. Според фирмата за сигурност изследователят, открил дефекта, е получил награда от 1024 долара.
