Уязвимость обхода аутентификации в плагине WordPress использована почти сразу после публикации

Ошибка в OttoKit позволяет злоумышленникам создавать новые учетные записи администратора

Ошибка может привести к полному перехвату веб-сайта. Более 100 000 веб-сайтов подвержены риску. Как сообщили исследователи безопасности, почти сразу после публикации информация о уязвимости в плагине WordPress была использована в атаке. На этой неделе компания Wordfence, занимающаяся вопросами безопасности, сообщила об обходе аутентификации в OttoKit – платформе для комплексной аутентификации рабочих процессов.

Уязвимость отслеживается как CVE-2025-3102 и получила оценку серьезности 8,1/10 (высокая). Она затрагивает все версии плагина до 1.0.78 и позволяет злоумышленникам создавать новые учетные записи администратора без аутентификации.

Эти учетные записи затем могут использоваться для полного захвата веб-сайта, что представляет огромную опасность для сотен тысяч веб-сайтов WordPress, использующих этот плагин. На сайте WordPress указано «более 100 000 активных установок».

Согласно Patchstack, первые попытки эксплуатации уязвимости были зафиксированы всего через «несколько часов» после того, как она была добавлена в vPatch их базы данных. Этот быстрый эксплуатация подчеркивает острую необходимость немедленного применения исправлений или мер смягчения при открытом опубликовании таких уязвимостей, – заявили исследователи.

Еще хуже то, что есть доказательства того, что атаки автоматизированы, что означает, что тысячи веб-сайтов могут быть быстро скомпрометированы.

OttoKit – это платформа комплексной автоматизации рабочих процессов, предназначенная для подключения приложений, служб и плагинов WordPress. Она позволяет пользователям автоматизировать повторяющиеся задачи и оптимизировать бизнес-процессы. Ранее он был известен как SureTriggers и поддерживает интеграцию с более чем 1000 приложений.

Плагины и темы WordPress почти постоянно сканируются на предмет уязвимостей. Владельцам веб-сайтов рекомендуется удалить и отключить все плагины, которыми они не пользуются в данный момент, и держать актуальными те, которые они используют.