WordPress用プラグインOttoKit(旧SureTriggers)の認証をバイパスできる重大な欠陥が、公開からわずか数時間後にハッカーに悪用され始めた。
ユーザーは、今月初めにリリースされたOttoKit/SureTriggersの最新バージョン(現在1.0.79)にアップグレードすることを強く推奨する。
OttoKitワードプレスプラグインは、ユーザーがWooCommerce、Mailchimp、Google Sheetsのようなプラグインや外部ツールと接続し、メール送信やユーザー追加などのタスクを自動化したり、コードなしでCRMを更新したりすることを可能にします。統計によると、この製品は100,000のウェブサイトで利用されている。
昨日、Wordfence は、CVE-2025-3102 として特定された OttoKit の認証バイパスの脆弱性を公表した。この欠陥は、1.0.78までのSureTriggers/OttoKitのすべてのバージョンに影響します。
この欠陥は、REST API 認証を処理するauthenticate_user()関数の空値チェックの欠落に起因しています。プラグインに API キーが設定されていない場合、脆弱性が悪用される可能性があります。
Source:Wordfence
攻撃者は、空のst_authorizationヘッダを送信してチェックをパスし、保護されたAPIエンドポイントへの不正アクセスを許可することで、これを悪用することができる。
本質的に、CVE-2025-3102は、攻撃者が認証なしで新しい管理者アカウントを作成することを可能にし、完全なサイト乗っ取りの高いリスクをもたらします。
Wordfenceは、3月中旬にこの発見で1,024ドルの報奨金を獲得したセキュリティ研究者「mikemyers」から、この欠陥に関する報告を受けた。
プラグイン・ベンダーは4月3日に悪用の詳細について連絡を受け、同日、バージョン1.0.79による修正をリリースした。
しかし、ハッカーたちは、管理者がセキュリティ問題に対処するためにプラグインのアップデートを遅らせたことを利用して、この問題を悪用する機会にすぐに飛びついた。
WordPressのセキュリティ・プラットフォームPatchstackの研究者は、この欠陥の公開からわずか数時間後に、最初の悪用試みが記録されたと警告している。
「攻撃者はこの脆弱性を悪用するのが早く、最初に記録された試みは、vPatchとしてデータベースに追加されてからわずか4時間後に発生した」とPatchstackは報告している。
「この迅速な悪用は、このような脆弱性が公開されたら直ちにパッチや緩和策を適用することの重要性を強調しています」と研究者は述べている。
脅威者は、タスクの自動化を示すランダムなユーザー名/パスワードと電子メールアドレスの組み合わせを使用して、新しい管理者アカウントを作成しようとします。
OttoKit/SureTriggersを使用している場合は、できるだけ早くバージョン1.0.79にアップグレードし、予期しない管理者アカウントやその他のユーザーロール、プラグイン/テーマのインストール、データベースアクセスイベント、セキュリティ設定の変更がないかログを確認してください。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。
Comments