Een nieuw bekendgemaakte hoogwaardig beveiligingsfout dat van invloed is op Ottokit (voorheen Suretriggers) is binnen enkele uren na openbare openbaarmaking onder actieve uitbuiting gekomen.
De kwetsbaarheid, gevolgd als CVE-2025-3102 (CVSS -score: 8.1), is een autorisatie -bypass -bug die een aanvaller in staat zou kunnen stellen beheerdersaccounts onder bepaalde voorwaarden te maken en controle te nemen over gevoelige websites.
“De Suretriggers: All-in-One automatiseringsplatform plug-in voor WordPress is kwetsbaar voor een authenticatiebypass die leidt tot het maken van administratieve accounts vanwege een ontbrekende lege waardecontrole op de waarde ‘Secret_key’ in de functie ‘Autheticate_User’ in alle versies tot en inclusief, 1.0.78,” Wordfence’s ISTVán Márton zei.
“Dit maakt het mogelijk voor niet -geauthenticeerde aanvallers om beheerdersaccounts op de doelwebsite te maken wanneer de plug -in is geïnstalleerd en geactiveerd maar niet geconfigureerd met een API -sleutel.”
Succesvolle exploitatie van de kwetsbaarheid kan een aanvaller toestaan om volledige controle over een WordPress -site te krijgen en de ongeautoriseerde toegang te benutten om willekeurige plug -ins te uploaden, kwaadaardige wijzigingen aan te brengen om malware of spam te serveren, en zelfs sitebezoekers om te leiden naar andere schetsmatige websites.
Beveiligingsonderzoeker Michael Mazzolini (aka Mikemyers) is gecrediteerd voor het ontdekken en rapporteren van de fout op 13 maart 2025. Het probleem is aangepakt in versie 1.0.79 van de plug -in die op 3 april 2025 is uitgebracht.
Ottokit biedt de mogelijkheid voor WordPress -gebruikers om verschillende apps en plug -ins te verbinden via workflows die kunnen worden gebruikt om repetitieve taken te automatiseren.
Hoewel de plug-in meer dan 100.000 actieve installaties heeft, merkt hij op dat alleen een subset van de websites daadwerkelijk exploiteerbaar is vanwege het feit dat deze afhankelijk is van de plug-in om in een niet-geconfigureerde toestand te zijn, ondanks geïnstalleerd en geactiveerd.
Dat gezegd hebbende, aanvallers zijn al ingegaan op de exploitatiebandwagon, in een poging snel te profiteren van de openbaarmaking om nepbeheerderaccounts te maken met de naam “XTW1838783BC”, per patchstack.
“Omdat het gerandomiseerd is, is het zeer waarschijnlijk dat u aanneemt dat gebruikersnaam, wachtwoord en e -mailalias anders zullen zijn voor elke poging tot exploitatie,” zei het WordPress -beveiligingsbedrijf.
De aanvalspogingen zijn afkomstig van twee verschillende IP -adressen –
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
In het licht van actieve exploitatie worden WordPress -site -eigenaren die op de plug -in vertrouwen, geadviseerd om de updates zo snel mogelijk toe te passen voor optimale bescherming, te controleren op verdachte admin -accounts en deze te verwijderen.
