بدأ المتسللون في استغلال عيب عالي الشهرة يسمح بتجاوز المصادقة في البرنامج المساعد Ottokit (سابقًا الساذج) لـ WordPress بعد ساعات فقط من الكشف العام.
يُنصح بشدة المستخدمين بالترقية إلى أحدث إصدار من Ottokit/Suretriggers ، الذي تم إصداره حاليًا 1.0.79 ، في بداية الشهر.
ال”https://suretriggers.com/” الهدف=”_blank” rel=”nofollow noopener”> المكون الإضافي Ottokit WordPress يتيح للمستخدمين توصيل المكونات الإضافية والأدوات الخارجية مثل WooCommerce و MailChimp و Google Sheets ، أو أتمتة المهام مثل إرسال رسائل البريد الإلكتروني وإضافة المستخدمين ، أو تحديث CRMs بدون رمز. إحصائيات”http://wordpress.org/plugins/suretriggers/#description” الهدف=”_blank” rel=”nofollow noopener”> عرض أن المنتج نشط على 100000 موقع.
أمس،”https://www.wordfence.com/blog/2025/04/100000-wordpress-sites-affected-by-administrative-user-creation-vulnerability-in-suretriggers-wordpress-plugin/” الهدف=”_blank” rel=”nofollow noopener”> Wordfence كشفت الضعف الالتفافية في المصادقة في Ottokit ، والتي تم تحديدها على أنها CVE-2025-3102. يؤثر العيب على جميع إصدارات Suretriggers/Ottokit حتى 1.0.78.
ينبع الخلل من فحص القيمة الفارغة المفقودة في antensice_user () وظيفة ، والتي تتعامل مع مصادقة API REST. الاستغلال ليكون ممكنًا إذا لم يتم تكوين المكون الإضافي باستخدام مفتاح API ، مما يسبب التخزين secret_keyلتبقى فارغة.
المصدر: Wordfence
يمكن للمهاجم استغلال هذا عن طريق إرسال فارغة st_authorization رأس لتمرير الشيك ومنح الوصول غير المصرح به إلى نقاط نهاية واجهة برمجة التطبيقات المحمية.
في الأساس ، يتيح CVE-2025-3102 للمهاجمين إنشاء حسابات مسؤول جديدة دون مصادقة ، مما يشكل خطرًا كبيرًا لاستقلال الموقع بالكامل.
تلقى Wordfence تقريراً عن عيب من الباحث الأمني ”Mikemyers” ، الذي حصل على مكافأة قدرها 1024 دولار للاكتشاف في منتصف مارس.
تم الاتصال ببائع البرنامج المساعد في 3 أبريل مع تفاصيل الاستغلال الكاملة ، وأصدروا إصلاحًا عبر الإصدار 1.0.79 في نفس اليوم.
ومع ذلك ، سرعان ما قفز المتسللون إلى فرصة لاستغلال المشكلة ، مع الاستفادة من تأخير المسؤولين في تحديث المكون الإضافي لمعالجة مشكلة الأمان.
يحذر الباحثون في منصة WordPress Security Platform من أن محاولات الاستغلال الأولى في البرية قد تم تسجيلها فقط بعد ساعات قليلة من الكشف عن العيب.
“سارع المهاجمون إلى استغلال هذه الثغرة الأمنية ، مع أول محاولة مسجلة تحدث بعد أربع ساعات فقط من إضافتها كصورة VPatch إلى قاعدة البيانات الخاصة بنا ،””https://patchstack.com/articles/critical-suretriggers-plugin-vulnerability-exploited-within-4-hours/” الهدف=”_blank” rel=”nofollow noopener”> تقارير باتشتاك.
يقول الباحثون: “يسلط هذا الاستغلال السريع الضوء على الحاجة الحاسمة لتطبيق التصحيحات أو التخفيفات فور الكشف العام عن نقاط الضعف هذه”.
تحاول ممثلو التهديد إنشاء حسابات مسؤول جديدة باستخدام اسم المستخدم/كلمة المرور العشوائية وعناوين البريد الإلكتروني ، وهي علامة على أتمتة المهمة.
إذا كنت تستخدم Ottokit/Suretriggers ، فقم بالترقية إلى الإصدار 1.0.79 في أقرب وقت ممكن وتحقق من سجلات حسابات المسؤول غير المتوقعة أو أدوار المستخدم الأخرى ، وتثبيت الإضافات/الموضوعات ، وأحداث الوصول إلى قاعدة البيانات ، وتعديل إعدادات الأمان.