Плагин OttoKit (ранее известный как SureTriggers) служит удобным связующим звеном между WordPress и внешними сервисами — помогает автоматизировать рутинные задачи, настраивать интеграции и создавать условные действия. Однако то, что призвано облегчить жизнь администраторам сайтов, оказалось лакомым кусочком и для киберпреступников.
Критическая дыра в автоматизации
Как сообщает компания Wordfence, в OttoKit, установленном более чем на 100 тысячах сайтов, обнаружены сразу две уязвимости. Первая — CVE-2025-27007 — получила почти максимальный балл 9.8 по шкале CVSS. Проблема в том, что функция create_wp_connection() без должной проверки прав доступа и подлинности пользователя позволяет атакующим установить соединение с сайтом и получить права администратора. Сценариев эксплуатации два: либо на сайте не использовались пароли приложений, либо злоумышленник уже авторизован и способен создать такой пароль.
И на этом неприятности не заканчиваются. Вторая уязвимость — CVE-2025-3102 с рейтингом 8.1 — активно эксплуатируется с апреля. По информации исследователей, вредоносные сканеры беспрерывно прочёсывают интернет в поисках подверженных сайтов, атакуя их автоматически. Зафиксированы IP-адреса, относящиеся к хостингам из Европы и США.
Вчера было рано, завтра может быть поздно
Пик атак пришёлся на 4 мая. Несмотря на это, не все владельцы ресурсов поспешили обновить плагин до безопасной версии 1.0.83, в которой бреши уже закрыты. А между тем, скомпрометированный OttoKit может стать прямым билетом злоумышленника в административную панель сайта. Так что те, кто использует OttoKit как швейцарский нож для автоматизации, рискуют получить от него сюрприз в стиле фильмов о хакерах.