Специалисты по кибербезопасности компании Patchstack зафиксировали массовые атаки, использующие критическую уязвимость в популярном WordPress-плагине OttoKit (ранее известном как SureTriggers). Обнаруженная брешь позволяет злоумышленникам создавать учетные записи администраторов на уязвимых сайтах без необходимой авторизации.
Технические детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-27007, связана с логической ошибкой в функции create_wp_connection. Проблема позволяет обойти механизмы аутентификации при отсутствии установленного пароля приложения. Особую опасность представляет тот факт, что плагин OttoKit установлен более чем на 100 000 активных сайтов, предоставляя функционал автоматизации и интеграции с внешними сервисами.
Механизм атаки
Злоумышленники эксплуатируют уязвимость через REST API плагина, отправляя специально сформированные запросы, которые имитируют легитимные попытки интеграции. В ходе атаки используются подобранные логины администраторов, случайные пароли и поддельные ключи доступа. После успешной эксплуатации выполняются дополнительные API-вызовы для создания новых административных учетных записей.
Индикаторы компрометации
Основными признаками атаки являются подозрительные запросы к эндпоинтам /wp-json/sure-triggers/v1/automation/action и параметру rest_route с полезной нагрузкой, содержащей «type_event»: «create_user_if_not_exists». Администраторам рекомендуется регулярно проверять журналы на наличие подобной активности.
Меры защиты и рекомендации
Разработчики выпустили патч в версии OttoKit 1.0.83, который добавляет обязательную валидацию ключей доступа при обработке запросов. Всем пользователям настоятельно рекомендуется незамедлительно обновить плагин до актуальной версии и провести аудит системных журналов на предмет возможной компрометации.
Примечательно, что это уже вторая критическая уязвимость в OttoKit с начала апреля 2025 года, следующая за недавно обнаруженной CVE-2025-3102. Данная ситуация подчеркивает важность своевременного обновления компонентов WordPress и регулярного мониторинга безопасности веб-ресурсов. Администраторам сайтов рекомендуется внедрить комплексный подход к обеспечению безопасности, включающий систему своевременного обновления плагинов и мониторинг подозрительной активности.
