Пустая строка вместо ключа авторизации открывает полный доступ к веб-ресурсам
Хакеры начали массово эксплуатировать критическую уязвимость в популярном плагине OttoKit (ранее SureTriggers ) для WordPress всего через несколько часов после её публичного раскрытия. Уязвимость позволяет обойти авторизацию и получить полный контроль над сайтом.
OttoKit предоставляет пользователям возможность без программирования автоматизировать действия на сайте WordPress: связывать другие плагины и сторонние сервисы, такие как WooCommerce, Mailchimp и Google Sheets, отправлять письма, добавлять пользователей или обновлять CRM-системы. По статистике, плагин используется на более чем 100 тысячах сайтов.
Уязвимость получила идентификатор CVE-2025-3102 и затрагивает все версии OttoKit и SureTriggers до 1.0.78 включительно. Её обнаружили специалисты Wordfence, получившие сообщение от исследователя под псевдонимом mikemyers. За находку он получил вознаграждение в размере 1024 доллара. Вендор оперативно отреагировал — уже 3 апреля был выпущен обновлённый релиз под номером 1.0.79 с устранением проблемы.
Основная ошибка заключалась в функции authenticate_user(), отвечающей за проверку прав доступа через REST API. При отсутствии API-ключа плагин сохраняет пустое значение secret_key, а проверка значений на пустоту в уязвимом коде отсутствовала. Это позволило атакующим просто отправить заголовок st_authorization с пустым значением и пройти авторизацию.
Таким образом, злоумышленник мог получить доступ к защищённым API-эндпоинтам, создать учётную запись администратора и захватить сайт. Более того, такие действия легко автоматизируются. По данным Patchstack, злоумышленники начали активно использовать баг всего через четыре часа после его публикации в базе данных компании.
Исследователи отмечают, что атаки сопровождаются созданием новых администраторских аккаунтов со случайными логинами, паролями и почтовыми адресами. Это указывает на автоматизированный характер атак, скорее всего, с использованием скриптов или ботов.
На данный момент пользователям плагина настоятельно рекомендуется как можно скорее обновиться до версии 1.0.79. Также следует вручную проверить логи на предмет подозрительных действий: появления новых аккаунтов, установки неизвестных тем и плагинов, изменения настроек безопасности или событий доступа к базе данных.
Эта ситуация наглядно показывает, насколько важно немедленно применять обновления после публичного раскрытия уязвимостей. Даже несколько часов задержки могут оказаться критическими.
Хакеры начали массово эксплуатировать критическую уязвимость в популярном плагине OttoKit (ранее SureTriggers ) для WordPress всего через несколько часов после её публичного раскрытия. Уязвимость позволяет обойти авторизацию и получить полный контроль над сайтом.
OttoKit предоставляет пользователям возможность без программирования автоматизировать действия на сайте WordPress: связывать другие плагины и сторонние сервисы, такие как WooCommerce, Mailchimp и Google Sheets, отправлять письма, добавлять пользователей или обновлять CRM-системы. По статистике, плагин используется на более чем 100 тысячах сайтов.
Уязвимость получила идентификатор CVE-2025-3102 и затрагивает все версии OttoKit и SureTriggers до 1.0.78 включительно. Её обнаружили специалисты Wordfence, получившие сообщение от исследователя под псевдонимом mikemyers. За находку он получил вознаграждение в размере 1024 доллара. Вендор оперативно отреагировал — уже 3 апреля был выпущен обновлённый релиз под номером 1.0.79 с устранением проблемы.
Основная ошибка заключалась в функции authenticate_user(), отвечающей за проверку прав доступа через REST API. При отсутствии API-ключа плагин сохраняет пустое значение secret_key, а проверка значений на пустоту в уязвимом коде отсутствовала. Это позволило атакующим просто отправить заголовок st_authorization с пустым значением и пройти авторизацию.
Таким образом, злоумышленник мог получить доступ к защищённым API-эндпоинтам, создать учётную запись администратора и захватить сайт. Более того, такие действия легко автоматизируются. По данным Patchstack, злоумышленники начали активно использовать баг всего через четыре часа после его публикации в базе данных компании.
Исследователи отмечают, что атаки сопровождаются созданием новых администраторских аккаунтов со случайными логинами, паролями и почтовыми адресами. Это указывает на автоматизированный характер атак, скорее всего, с использованием скриптов или ботов.
На данный момент пользователям плагина настоятельно рекомендуется как можно скорее обновиться до версии 1.0.79. Также следует вручную проверить логи на предмет подозрительных действий: появления новых аккаунтов, установки неизвестных тем и плагинов, изменения настроек безопасности или событий доступа к базе данных.
Эта ситуация наглядно показывает, насколько важно немедленно применять обновления после публичного раскрытия уязвимостей. Даже несколько часов задержки могут оказаться критическими.