يستغل المتسللون ضعفًا حاسماً للتصعيد غير المصوق في المكون الإضافي لـ Ottokit WordPress لإنشاء حسابات المشرف المارقة على المواقع المستهدفة.
Ottokit (Suretriggers سابقًا) عبارة عن مكون إضافي لآلة WordPress وتكامله يستخدم في أكثر من 100000 موقع ، مما يسمح للمستخدمين بتوصيل مواقع الويب الخاصة بهم بخدمات الطرف الثالث وأتمتة سير العمل.
تلقى Patchstack تقريراً عن ثغرة أمنية في أوتووكيت في 11 أبريل 2025 ، من الباحث دنفر جاكسون.
يتيح العيوب ، الذي تم تتبعه ضمن معرف CVE-2025-27007 ، للمهاجمين الحصول على وصول المسؤول عبر واجهة برمجة تطبيقات المكون الإضافي عن طريق استغلال خطأ منطقي في وظيفة “create_wp_connection” ، متجاوزًا فحص المصادقة عند عدم تعيين كلمات مرور التطبيق.
تم إبلاغ البائع في اليوم التالي ، وتم إصدار تصحيح في 21 أبريل 2025 ، مع Ottikit الإصدار 1.0.83 ، مضيفًا التحقق من التحقق من صحة مفتاح الوصول المستخدم في الطلب.
بحلول 24 أبريل 2025 ، تم تحديث معظم مستخدمي البرنامج المساعد للإصدار المصحح.
تم استغلالها الآن في الهجمات
تم نشر Patchstack”https://patchstack.com/articles/additional-critical-ottokit-formerly-suretriggers-vulnerability-patched/” الهدف=”_blank” rel=”nofollow noopener”> تقريرها في 5 مايو ، 2025 ، لكن تحديث جديد يحذر من أن نشاط الاستغلال بدأ بعد حوالي 90 دقيقة من الكشف العام.
حاول المهاجمون الاستغلال من خلال استهداف نقاط نهاية API REST ، وإرسال الطلبات التي تحاكي محاولات التكامل الشرعي ، وذلك باستخدام “create_wp_connection” بأسماء مستخدمين للمسؤول أو المدير الغاشم ، وكلمات مرور عشوائية ، ومفاتيح الوصول المزيفة وعناوين البريد الإلكتروني.
بمجرد نجاح الاستغلال الأولي ، أصدر المهاجمون مكالمات متابعة واجهة برمجة تطبيقات إلى “/WP-JSON/SARE-TRIGGERS/V1/Automation/Action” و “REST_ROUTE=/WP-JSON/SARE-TRIGGERS/V1/AUTOMATION/ACTION” ، بما في ذلك قيمة الحمولة الصافية: “type_event”: “create_user_if_not_exists.”
على التركيبات الضعيفة ، يقوم هذا بصمت بإنشاء حسابات مسؤول جديدة.
“It is strongly recommended to update your site as soon as possible if you are using the OttoKit plugin, and to review your logs and site settings for these indicators of attack and compromise,” يقترح باتشستاك.
هذا هو ثاني عيب حرج في أوتوكيت الذي استغله المتسللون منذ أبريل 2025 ، مع وجود خطأ آخر في المصادقة.”https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-auth-bypass-hours-after-disclosure/” الهدف=”_blank” rel=”nofollow noopener”> CVE-2025-3102.
بدأ استغلال هذا العيب في نفس اليوم من الإفصاح ، حيث تحاول ممثلو التهديد إنشاء حسابات المسؤول المارقة مع أسماء مستخدمين عشوائية وكلمات مرور وعناوين البريد الإلكتروني ، مما يشير إلى محاولات تلقائية.