Хакеры эксплуатируют критическую уязвимость повышения привилегий в плагине OttoKit (ранее SureTriggers) для WordPress для создания новых учетных записей администраторов на уязвимых сайтах.
Плагин OttoKit предназначен для задач по автоматизации и интеграции в WordPress. Он используется более чем на 100 000 сайтов и позволяет пользователям подключать свои ресурсы к сторонним сервисам и автоматизировать рабочие процессы.
Как сообщают эксперты компании Patchstack, 11 апреля 2025 года им стало известно о критической уязвимости в OttoKit. Проблему обнаружил независимый ИБ-исследователь Денвер Джексон (Denver Jackson).
Проблема получила идентификатор CVE-2025-27007 и позволяет злоумышленникам получить административный доступ через API плагина. Для этого используется логическая ошибка в функции create_wp_connection, которая позволяет обойти проверку аутентификации, если не задан пароль приложения.
Патч для этой уязвимости был выпущен 21 апреля 2025 года в составе OttoKit версии 1.0.83. В исправлении разработчики добавили проверку валидности ключа доступа, используемого в запросе.
По данным Patchstack, эксплуатация бага началась 5 мая 2025 года, примерно через 90 минут после публикации первого отчета о нем.
Сообщается, что злоумышленники используют эндпоинты REST API, отправляя запросы, имитирующие легитимные попытки интеграции, и используют команду create_wp_connection, содержащую подобранные или взломанные логины администраторов, случайные пароли, а также фальшивые ключи доступа и адреса электронной почты.
После успешного применения эксплоита атакующие выполняют последующие API-вызовы по адресам /wp-json/sure-triggers/v1/automation/action и ?rest_route=/wp-json/sure-triggers/v1/automation/action, передавая значение полезной нагрузки: "type_event": "create_user_if_not_exists". На уязвимых сайтах это приводит к созданию новых учетных записей администратора.
«Если вы используете плагин OttoKit, настоятельно рекомендуется как можно скорее обновиться. Также следует проверить журналы и настройки сайта на наличие индикаторов атак и компрометации», — советуют в Patchstack.
Стоит отметить, что это уже вторая критическая уязвимость в OttoKit, которую хакеры эксплуатируют с апреля 2025 года. Недавно сообщалось об атаках на уязвимость CVE-2025-3102, которая тоже связана с обходом аутентификации.
