Hakerzy zaczęli wykorzystywać podatność na uwierzytelnianie uwierzytelniania o wysokiej rozdzielczości we wtyczce Ottokit WordPress zaledwie kilka godzin po jej publicznym ujawnieniu, stanowiąc znaczące ryzyko dla użytkowników.

Wtyczka Ottokit WordPress, znana wcześniej jako Suretriggers, pozwala użytkownikom podłączyć różne wtyczki i narzędzia zewnętrzne, takie jak WooCommerce, MailChimp i Google Arkusze do automatyzacji zadań bez kodu. Z wtyczką aktywną na 100 000 stron internetowych, podatność zidentyfikowana jako CVE-2025-3102 wpływa na wszystkie wersje do 1.0.78.

Wada wynika z brakującego pustej wartości w authenticate_user() Funkcja, która obsługuje uwierzytelnianie API REST. Jeśli wtyczka nie jest skonfigurowana z klawiszem API, przechowywane secret_key pozostaje pusty, umożliwiając wyzysk. Atakujący może wykorzystać tę podatność, wysyłając puste st_authorization Nagłówek, omijając w ten sposób uwierzytelnianie i uzyskując nieautoryzowany dostęp do chronionych punktów końcowych API.

You Might Also Like
Wyzwaniem związanym z reklamami Bing AI jest maksymalizacja doświadczenia użytkownika
Wyzwaniem związanym z reklamami Bing AI jest maksymalizacja doświadczenia użytkownika
Jak podłączyć telefon do Wi-Fi i rozwiązać problemy z połączeniem
Jak podłączyć telefon do Wi-Fi i rozwiązać problemy z połączeniem
Nexus Android Trojan skupia się na twoich kryptowalutowych portfelach
Nexus Android Trojan skupia się na twoich kryptowalutowych portfelach

Zasadniczo CVE-2025-3102 umożliwia atakującym tworzenie nowych kont administratorów bez uwierzytelnienia, potencjalnie prowadząc do pełnego przejęcia witryny. Podatność została zgłoszona do Wordfence przez badacza bezpieczeństwa „Mikemyers” w połowie marca, który otrzymał 1024 USD za odkrycie.

  Chrome oskarżony o pobranie pliku AI o rozmiarze 4 GB bez zgody użytkownika

Sprzedawca wtyczki został powiadomiony 3 kwietnia i wydał poprawkę w wersji 1.0.79 tego samego dnia. Jednak próby eksploatacji rozpoczęły się zaledwie kilka godzin po ujawnieniu podatności na publiczne. Naukowcy z PatchStack stwierdzili, że pierwsza próba eksploatacji została zarejestrowana zaledwie cztery godziny po dodaniu podatności do ich bazy danych.

Atakerzy próbują utworzyć nowe konta administratora z randomizowaną nazwą użytkownika, hasłem i kombinacjami adresów e -mail, wskazując zautomatyzowane ataki. Użytkownicy wtyczki Ottokit/SureTriggers powinni silnie zaleca się natychmiastową aktualizację do wersji 1.0.79 i sprawdzić dzienniki pod kątem podejrzanych aktywności, takich jak nowe konta administratora, instalacja wtyczek lub motywów, zdarzenia dostępu do bazy danych i modyfikacja ustawień bezpieczeństwa.

Source: Wtyczka WordPress Ottokit zhakowana po ujawnieniu pomostowania uwierzytelniania