Vulnerabilitate identificată în OttoKit WordPress Plugin Admin Creation

O vulnerabilitate de securitate cu grad de severitate high, recent dezvăluită, ce afectează OttoKit (fostul SureTriggers) a fost exploatată activ la câteva ore după dezvăluirea publică.

Vulnerabilitatea, identificată drept CVE-2025-3102 (scor CvSS: 8.1/10) este o eroare de ocolire a autorizației ce ar putea permite unui atacator să creeze conturi de administrator în anumite condiții și să preia controlul asupra site-urilor web.

Exploatarea cu succes a vulnerabilității ar putea permite unui atacator să obțină controlul complet asupra unui site WordPress și să profite de accesul neautorizat pentru a încărca pluginuri arbitrare, să facă modificări malițioase pentru a servi malware sau spam și chiar să redirecționeze vizitatorii site-ului către alte site-uri web sketchy.

Vulnerabilitatea a fost remediată în versiunea 1.0.79 a plugin-ului lansată la 3 aprilie 2025.

OttoKit oferă utilizatorilor WordPress posibilitatea de a conecta diferite aplicații și plugin-uri prin fluxuri de lucru care pot fi utilizate pentru a automatiza sarcini repetitive.

În timp ce pluginul are peste 100.000 de instalări active, trebuie remarcat faptul că doar un subset de site-uri web sunt de fapt exploatabile, datorită aspectului că se bazează pe faptul că pluginul este într-o stare neconfigurată, în ciuda faptului că este instalat și activat.

Deținătorii site-urilor WordPress care se bazează pe plugin sunt sfătuiți să aplice actualizările cât mai curând posibil pentru o protecție optimă, să verifice dacă există conturi de administrare suspecte și să le elimine.

Sursă: https://thehackernews.com/2025/04/ottokit-wordpress-plugin-admin-creation.html