Hakerzy zaczęli wykorzystywać poważną lukę pozwalającą na ominięcie uwierzytelnienia we wtyczce OttoKit (wcześniej SureTriggers) dla WordPress zaledwie kilka godzin po publicznym ujawnieniu.
W skrócie
Użytkownikom zdecydowanie zaleca się aktualizację do najnowszej wersji OttoKit/SureTriggers, obecnie 1.0.79, wydanej na początku miesiąca.
Wtyczka OttoKit WordPress pozwala użytkownikom łączyć wtyczki i zewnętrzne narzędzia jak WooCommerce, Mailchimp i Google Sheets, automatyzować zadania jak wysyłanie e-maili i dodawanie użytkowników lub aktualizować systemy CRM bez kodowania. Statystyki pokazują, że produkt jest aktywny na 100 000 stronach.
Sprawdź też: Na czym polega podział sieci na podsieci
Wczoraj Wordfence ujawnił lukę w uwierzytelnianiu w OttoKit, zidentyfikowaną jako CVE-2025-3102. Luka dotyczy wszystkich wersji SureTriggers/OttoKit do 1.0.78.
Luka wynika z braku sprawdzania pustej wartości w funkcji authenticate_user(), która obsługuje uwierzytelnianie REST API. Wykorzystanie jest możliwe, jeśli wtyczka nie jest skonfigurowana z kluczem API, co powoduje, że przechowywany secret_key pozostaje pusty.
Atakujący może wykorzystać to poprzez wysłanie pustego nagłówka st_authorization, aby przejść weryfikację i uzyskać nieautoryzowany dostęp do chronionych punktów końcowych API.
W istocie, CVE-2025-3102 pozwala atakującym tworzyć nowe konta administratora bez uwierzytelnienia, stwarzając wysokie ryzyko całkowitego przejęcia witryny.
Wordfence otrzymał zgłoszenie o luce od badacza bezpieczeństwa 'mikemyers’, który otrzymał nagrodę w wysokości 1024 USD za odkrycie w połowie marca.
Dostawca wtyczki został skontaktowany 3 kwietnia z pełnymi szczegółami eksploitacji, a poprawkę wydali w wersji 1.0.79 tego samego dnia.
Czytaj też: Przesyłanie dużych plików w bezpieczny sposób
Jednak hakerzy szybko wykorzystali okazję do wykorzystania luki, korzystając z opóźnienia administratorów w aktualizacji wtyczki w celu rozwiązania problemu bezpieczeństwa.
Badacze z platformy bezpieczeństwa WordPress Patchstack ostrzegają, że pierwsze próby wykorzystania w środowisku zostały zarejestrowane zaledwie kilka godzin po ujawnieniu luki.
„Atakujący szybko wykorzystali tę lukę, a pierwsza zarejestrowana próba miała miejsce zaledwie cztery godziny po dodaniu jej jako vPatch do naszej bazy danych” – informuje Patchstack.
„To szybkie wykorzystanie podkreśla krytyczną potrzebę natychmiastowego stosowania poprawek lub środków zaradczych po publicznym ujawnieniu takich luk” – mówią badacze.
Atakujący próbują tworzyć nowe konta administratora używając losowych kombinacji nazw użytkownika/hasła i adresów email, co jest oznaką automatyzacji zadań.
Jeśli używasz OttoKit/SureTriggers, zaktualizuj do wersji 1.0.79 jak najszybciej i sprawdź logi pod kątem nieoczekiwanych kont administratora lub innych ról użytkowników, instalacji wtyczek/motywów, zdarzeń dostępu do bazy danych i modyfikacji ustawień bezpieczeństwa.