Das Cybersecurity-Unternehmen Patchstack hat eine kritische Sicherheitslücke im weitverbreiteten WordPress-Plugin OttoKit (früher als SureTriggers bekannt) entdeckt. Die Schwachstelle ermöglicht Angreifern die unauthorisierte Erstellung von Administrator-Accounts auf betroffenen Websites. Aktuell sind mehr als 100.000 aktive WordPress-Installationen durch diese Sicherheitslücke gefährdet.
Details zur Sicherheitslücke CVE-2025-27007
Die als CVE-2025-27007 klassifizierte Schwachstelle basiert auf einem logischen Fehler in der Funktion create_wp_connection. Diese Schwachstelle ermöglicht es Angreifern, die Authentifizierungsmechanismen zu umgehen, wenn kein spezifisches Anwendungspasswort konfiguriert wurde. Besonders kritisch ist die Situation, da OttoKit häufig für Automatisierungen und externe Service-Integrationen eingesetzt wird.
Anatomie der Angriffe
Die Angreifer nutzen die REST-API-Schnittstelle des Plugins, um speziell präparierte Anfragen zu senden. Diese imitieren legitime Integrationsversuche unter Verwendung von gefälschten Administratorzugängen, zufällig generierten Passwörtern und manipulierten Zugriffsschlüsseln. Nach erfolgreicher Exploitation werden weitere API-Aufrufe getätigt, um zusätzliche Administrator-Accounts anzulegen.
Erkennungsmerkmale kompromittierter Systeme
Verdächtige Aktivitäten lassen sich an Anfragen an die Endpunkte /wp-json/sure-triggers/v1/automation/action erkennen. Charakteristisch sind dabei Parameter mit rest_route und Payload-Inhalte, die „type_event“: „create_user_if_not_exists“ enthalten. Eine regelmäßige Überprüfung der Systemprotokolle auf diese Indikatoren ist dringend empfohlen.
Schutzmaßnahmen und Handlungsempfehlungen
Mit Version 1.0.83 von OttoKit wurde ein Sicherheitsupdate veröffentlicht, das eine strikte Validierung von Zugriffsschlüsseln implementiert. Website-Betreiber sollten umgehend folgende Maßnahmen ergreifen:
– Sofortiges Update auf die aktuelle Plugin-Version
– Durchführung einer forensischen Analyse der Systemprotokolle
– Überprüfung aller Administratorkonten auf unauthorized Änderungen
– Implementierung eines proaktiven Sicherheitsmonitorings
Die Entdeckung dieser Schwachstelle, die bereits die zweite kritische Sicherheitslücke in OttoKit seit April 2025 darstellt, unterstreicht die Notwendigkeit eines systematischen Sicherheitsmanagements für WordPress-Installationen. Websitebetreiber sollten ein automatisiertes Update-Management implementieren und ihre Sicherheitsmaßnahmen regelmäßig evaluieren. Die Installation eines Web Application Firewalls (WAF) und die Einführung einer Zero-Trust-Architektur können zusätzlichen Schutz vor ähnlichen Bedrohungen bieten.
