Bezbjednosna firma Defiant, specijalizovana za WordPress, upozorava da hakeri aktivno iskorišćavaju ranjivost u OttoKit dodatku, pri čemu je veliki broj sajtova potencijalno izložen potpunoj kompromitaciji.
Dodatak, ranije poznat kao SureTriggers, sada se zove OttoKit: All-in-One Automation Platform i omogućava administratorima sajtova da automatizuju zadatke i povežu aplikacije, sajtove i WordPress dodatke.
Dodatak ima više od 100.000 aktivnih instalacija, što stavlja sve te sajtove u rizik od preuzimanja zbog ozbiljne ranjivosti visokog stepena, koja omogućava zaobilaženje autentifikacije, a napadačima daje mogućnost da kreiraju nove administratorske naloge.
Ranjivost je zavedena kao CVE-2025-3102 (sa CVSS ocjenom 8.1), a postoji zbog nedostatka provjere prazne vrijednosti u funkciji koja vrši provjeru dozvola.
Budući da funkcija samo upoređuje tajni ključ u zaglavlju sa onim u bazi podataka dodatka, napadač može da unese praznu vrijednost za tajni ključ, i ako dodatak nije konfigurisan, sistem će tu praznu vrijednost smatrati validnom.
Ovo omogućava napadaču pristup REST API krajnjoj tački koja upravlja različitim radnjama, uključujući kreiranje novog administratorskog naloga. Time napadač dobija potpunu kontrolu nad pogođenim sajtom.
„[Napadač može] potom manipulisati bilo čim na ciljanom sajtu kao i svaki drugi administrator. To uključuje mogućnost otpremanja dodataka i fajlova tema, koji mogu biti maliciozni .zip fajlovi sa backdoor-ima, kao i izmjenu postova i stranica, što se može iskoristiti za preusmjeravanje korisnika na druge maliciozne sajtove ili za ubacivanje spam sadržaja“, navodi Defiant.
Međutim, ovaj bezbjednosni propust može se iskoristiti samo ako je dodatak instaliran i aktiviran, ali nije konfigurisan sa API ključem, što znači da su napadima podložne samo nove i nekonfigurisane instalacije.
„Iako preko 100.000 sajtova ima instaliran ovaj dodatak i sadrži ranjivost, samo mali broj sajtova će zapravo biti iskorišćen. To je zbog prirode ranjivosti koja zahtijeva da dodatak bude u nekonfigurisanom stanju da bi došlo do eksploatacije“, objašnjava Defiant.
Ipak, bezbjednosna firma takođe upozorava da je ranjivost već iskorišćena u stvarnom okruženju i poziva korisnike dodatka da ažuriraju na verziju OttoKit 1.0.79 ili noviju, koja sadrži zakrpe za ovu grešku.
Defiant je prijavio problem programerima dodatka 3. aprila, a ispravka je objavljena istog dana. Prema navodima firme, istraživač koji je otkrio propust nagrađen je sa 1.024 dolara u okviru programa za nagrađivanje pronalazača bagova.
Izvor: SecurityWeek
