Cacat keamanan tingkat tinggi yang baru diungkapkan yang berdampak pada Ottokit (sebelumnya Suretriggers) telah berada di bawah eksploitasi aktif dalam beberapa jam setelah pengungkapan publik.
Kerentanan, dilacak sebagai CVE-2025-3102 (Skor CVSS: 8.1), adalah bug bypass otorisasi yang dapat memungkinkan penyerang untuk membuat akun administrator dalam kondisi tertentu dan mengendalikan situs web yang rentan.
“The SureTriggers: All-in-One Automation Platform plugin for WordPress is vulnerable to an authentication bypass leading to administrative account creation due to a missing empty value check on the 'secret_key' value in the 'autheticate_user' function in all versions up to, and including, 1.0.78,” Wordfence's István Márton said.
“Ini memungkinkan penyerang yang tidak aautentikasi untuk membuat akun administrator di situs web target ketika plugin diinstal dan diaktifkan tetapi tidak dikonfigurasi dengan kunci API.”
Eksploitasi kerentanan yang berhasil dapat memungkinkan penyerang untuk mendapatkan kendali penuh atas situs WordPress dan memanfaatkan akses yang tidak sah untuk mengunggah plugin sewenang -wenang, membuat modifikasi berbahaya untuk menyajikan malware atau spam, dan bahkan mengarahkan kembali pengunjung situs ke situs web samar lainnya.
Peneliti keamanan Michael Mazzolini (alias Mikemyers) telah dikreditkan dengan menemukan dan melaporkan cacat pada 13 Maret 2025. Masalah ini telah dibahas dalam versi 1.0.79 plugin yang dirilis pada 3 April 2025.
Ottokit menawarkan kemampuan bagi pengguna WordPress untuk menghubungkan berbagai aplikasi dan plugin melalui alur kerja yang dapat digunakan untuk mengotomatisasi tugas yang berulang.
Sementara plugin memiliki lebih dari 100.000 instalasi aktif, perlu mencatat bahwa hanya sebagian dari situs web yang benar-benar dapat dieksploitasi karena fakta bahwa ia bergantung pada plugin yang berada dalam keadaan yang tidak dikonfigurasi meskipun diinstal dan diaktifkan.
Yang mengatakan, penyerang telah melompat pada kereta musik eksploitasi, berusaha untuk dengan cepat memanfaatkan pengungkapan untuk membuat akun administrator palsu dengan nama “XTW1838783BC,” per patchstack.
“Karena itu secara acak, sangat mungkin untuk berasumsi bahwa nama pengguna, kata sandi, dan alias email akan berbeda untuk setiap upaya eksploitasi,” kata perusahaan keamanan WordPress.
Upaya serangan berasal dari dua alamat IP yang berbeda –
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
Mengingat eksploitasi aktif, pemilik situs WordPress yang mengandalkan plugin disarankan untuk menerapkan pembaruan sesegera mungkin untuk perlindungan optimal, periksa akun admin yang mencurigakan, dan hapus.
