Un difetto di sicurezza advert alta precisione di recente divulgazione che colpisce Ottokit (precedentemente Suretriggers) è stato sottoposto a sfruttamento attivo entro poche ore dalla divulgazione pubblica.
La vulnerabilità, monitorata come CVE-2025-3102 (Punteggio CVSS: 8.1), è un bug di bypass di autorizzazione che potrebbe consentire a un utente malintenzionato di creare account amministratori in determinate condizioni e assumere il controllo dei siti Net sensibili.
“The Suretriggers: il plug-in della piattaforma di automazione all-in-one per WordPress è vulnerabile a un bypass di autenticazione che porta alla creazione di account amministrativi a causa di un controllo a valore vuoto mancante sul valore” secret_key “nella funzione” Aheticate_user “in tutte le versioni fino a e compreso, 1.0,78”, ISTVán Márton di Wordfence disse.
“Ciò consente agli aggressori non autenticati di creare account di amministratore sul sito Net di destinazione quando il plug -in è installato e attivato ma non configurato con una chiave API.”
Lo sfruttamento riuscito della vulnerabilità potrebbe consentire a un utente malintenzionato di ottenere il controllo completo su un sito WordPress e sfruttare l’accesso non autorizzato per caricare plugin arbitrari, apportare modifiche dannose per servire malware o spam e persino reindirizzare i visitatori del sito advert altri siti Net abbozzati.
Ricercatore di sicurezza Michael Mazzolini (aka Mikemyers) è stato attribuito il merito di aver scoperto e riferito del difetto il 13 marzo 2025. Il problema è stato affrontato Versione 1.0.79 del plugin rilasciato il 3 aprile 2025.
Ottokit offre la possibilità agli utenti di WordPress di collegare various app e plugin attraverso flussi di lavoro che possono essere utilizzati per automatizzare le attività ripetitive.
Mentre il plug-in ha oltre 100.000 installazioni attive, ha notato che solo un sottoinsieme dei siti Net è effettivamente sfruttabile a causa del fatto che dipende dal plug-in in uno stato non configurato nonostante sia installato e attivato.
Detto questo, gli aggressori sono già saltati sul carro di sfruttamento, tentando di capitalizzare rapidamente sulla divulgazione per creare conti di amministratore fasullo con il nome “XTW1838783BC”, per Patchstack.
“Dal momento che è randomizzato, è molto probabile che si assume che il nome utente, la password e l’alias di posta elettronica siano diversi per ogni tentativo di sfruttamento”, la società di sicurezza WordPress disse.
I tentativi di attacco sono nati da due diversi indirizzi IP –
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
Alla luce dello sfruttamento attivo, si consiglia ai proprietari di siti WordPress che si basano sul plug -in di applicare gli aggiornamenti il prima possibile per una protezione ottimale, verificare la presenza di account di amministrazione sospettosi e rimuoverli.
