В плагине OttoKit (ранее известном как SureTriggers) для WordPress обнаружена критическая уязвимость, позволяющая обходить аутентификацию. Уязвимость CVE-2025-3102 была раскрыта 9 апреля и уже через четыре часа начала активно использоваться хакерами. Об этом сообщают исследователи Wordfence и Patchstack.
Плагин OttoKit используется на более чем 100 000 сайтов и предназначен для автоматизации задач без программирования — от отправки писем до интеграции с WooCommerce, Mailchimp и Google Sheets. Уязвимость затрагивает все версии до 1.0.79 включительно. В новой версии, выпущенной 3 апреля, проблема устранена.
Ошибка кроется в функции authenticate_user(), отвечающей за REST API-аутентификацию. При отсутствии заданного API-ключа плагин не проверяет пустое значение secret_key. Это позволяет злоумышленнику отправить заголовок st_authorization с пустым значением и обойти проверку. В результате можно создать нового администратора и получить полный контроль над сайтом.
Исследователь безопасности под псевдонимом mikemyers сообщил об уязвимости в марте и получил вознаграждение в размере $1024. Несмотря на быстрый выпуск обновления, многие администраторы не успели его установить, чем и воспользовались злоумышленники. Отмечены массовые попытки создания новых учётных записей с рандомными логинами и паролями — признаки автоматических атак.
Владельцам сайтов рекомендуется немедленно обновить плагин OttoKit/SureTriggers до версии 1.0.79 и проверить системные журналы на наличие неизвестных администраторов, подозрительных установок плагинов или изменений в настройках безопасности.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
