Хакери атакують вразливість обходу аутентифікації в плагіні OttoKit (раніше SureTriggers) для WordPress, який використовується більш ніж на 100 000 сайтів. Перші атаки було зафіксовано всього за кілька годин після оприлюднення інформації про баг.

Вразливість в OttoKit дає змогу користувачам під’єднувати додаткові плагіни та зовнішні інструменти, включно з WooCommerce, Mailchimp і Google Sheets, автоматизувати такі завдання, як розсилка листів і додавання користувачів, а також оновлювати CRM без коду.

Фахівці компанії Wordfence розкрили подробиці про уразливість обходу аутентифікації в OttoKit наприкінці минулого тижня. Проблема отримала ідентифікатор CVE-2025-3102 (8,1 бала за шкалою CVSS) і зачіпає всі версії SureTriggers/OttoKit аж до 1.0.78.

Дослідники повідомили, що баг пов’язаний із відсутністю перевірки порожнього значення у функції authenticate_user(), яка пов’язана з аутентифікацією REST API. Експлуатація проблеми можлива в тому разі, якщо в плагіні не налаштовано ключ API, через що збережений secret_key залишається порожнім.

Зловмисник може скористатися вразливістю, надіславши порожній заголовок st_authorization, і в результаті отримавши доступ до захищених ендпоїнтів API. По суті, CVE-2025-3102 дає змогу створювати нові облікові записи адміністраторів без аутентифікації.

Річ у тім, що аналітики WordPress Patchstack уже виявили атаки на CVE-2025-3102, що почалися через кілька годин після оприлюднення даних про вразливість. За даними фахівців, за допомогою цього бага хакери намагаються створювати нові облікові записи адміністраторів, використовуючи випадкові комбінації імені користувача, пароля та адреси електронної пошти (що вказує на автоматизацію атак).