Уязвимость в плагине OttoKit для WordPress: хакеры массово создают админ-аккаунты
Обнаружена критическая уязвимость (CVE-2025-3102, CVSS 8.1) в плагине OttoKit (ранее SureTriggers) для WordPress, позволяющая злоумышленникам создавать административные учетные записи и полностью захватывать сайты. Эксплуатация началась в течение нескольких часов после публикации информации об уязвимости.
Ключевые факты
🔹 Уязвимые версии: OttoKit ≤ 1.0.78.
🔹 Исправлено в: 1.0.79 (выпущена 3 апреля 2025).
🔹 Суть уязвимости:
- Плагин не проверяет пустое значение `secret_key` в функции autheticate_user.
- Если плагин установлен, но не настроен (нет API-ключа), атакующий может:
- Создать учетную запись администратора.
- Получить полный контроль над сайтом.
🔹 Последствия взлома:
- Установка вредоносных плагинов.
- Внедрение кода для фишинга/майнинга.
- Перенаправление посетителей на мошеннические сайты.
Детали атак
- Злоумышленники уже используют уязвимость, создавая фейковых админов с именами вида `xtw1838783bc`.
- IP-адреса атакующих:
- 2a01:e5c0:3167::2 (IPv6)
- 89.169.15.201 (IPv4)
- Уязвимы не все сайты, а только те, где плагин активен, но не настроен.
Как защититься?
1. Срочно обновите OttoKit до версии 1.0.79.
2. Проверьте список пользователей на подозрительные аккаунты (например, `xtw1838783bc`).
3. Удалите ненужные плагины, особенно если они не используются.
4. Настройте OttoKit (если он нужен) — укажите API-ключ.
💡 Совет: Используйте Wordfence или Patchstack для мониторинга подозрительной активности.
Вывод
Уязвимость CVE-2025-3102 уже активно эксплуатируется. Если у вас установлен OttoKit:
✅ Обновите его прямо сейчас.
✅ Проверьте, не появились ли левые админы.
✅ Отключите плагин, если он не нужен.
🚨 Важно: Эта уязвимость напоминает недавние атаки на Popup Builder и другие плагины — всегда следите за обновлениями!
