Хакеры начали взлом сайтов через плагин OttoKit — уязвимость даёт доступ без пароля

В плагине OttoKit (ранее известном как SureTriggers) для WordPress обнаружена критическая уязвимость, позволяющая обходить аутентификацию. Уязвимость CVE-2025-3102 была раскрыта 9 апреля и уже через четыре часа начала активно использоваться хакерами. Об этом сообщают исследователи Wordfence и Patchstack.

Плагин OttoKit используется на более чем 100 000 сайтов и предназначен для автоматизации задач без программирования — от отправки писем до интеграции с WooCommerce, Mailchimp и Google Sheets. Уязвимость затрагивает все версии до 1.0.79 включительно. В новой версии, выпущенной 3 апреля, проблема устранена.

Ошибка кроется в функции authenticate_user(), отвечающей за REST API-аутентификацию. При отсутствии заданного API-ключа плагин не проверяет пустое значение secret_key. Это позволяет злоумышленнику отправить заголовок st_authorization с пустым значением и обойти проверку. В результате можно создать нового администратора и получить полный контроль над сайтом.

Исследователь безопасности под псевдонимом mikemyers сообщил об уязвимости в марте и получил вознаграждение в размере $1024. Несмотря на быстрый выпуск обновления, многие администраторы не успели его установить, чем и воспользовались злоумышленники. Отмечены массовые попытки создания новых учётных записей с рандомными логинами и паролями — признаки автоматических атак.

Владельцам сайтов рекомендуется немедленно обновить плагин OttoKit/SureTriggers до версии 1.0.79 и проверить системные журналы на наличие неизвестных администраторов, подозрительных установок плагинов или изменений в настройках безопасности.