Cacat keamanan kedua yang berdampak pada ottokit (sebelumnya Suretriggers) Plugin WordPress telah berada di bawah eksploitasi aktif di alam liar.
Kerentanan, dilacak sebagai CVE-2025-27007 (skor CVSS: 9.8), adalah bug eskalasi hak istimewa yang memengaruhi semua versi plugin sebelum dan termasuk versi 1.0.82.
“Ini karena fungsi create_wp_connection () kehilangan pemeriksaan kemampuan dan tidak memverifikasi kredensial otentikasi pengguna,” kata Wordfence. “Ini memungkinkan penyerang yang tidak aautentikasi untuk membuat koneksi, yang pada akhirnya dapat memungkinkan peningkatan hak istimewa.”
Yang mengatakan, kerentanan hanya dapat dieksploitasi dalam dua skenario yang memungkinkan –
- Ketika situs tidak pernah mengaktifkan atau menggunakan kata sandi aplikasi, dan Ottokit belum pernah terhubung ke situs web menggunakan kata sandi aplikasi sebelumnya
- Ketika penyerang telah mengotentikasi akses ke situs dan dapat menghasilkan kata sandi aplikasi yang valid
Wordfence mengungkapkan bahwa mereka mengamati para aktor ancaman yang berusaha mengeksploitasi kerentanan koneksi awal untuk membuat koneksi dengan situs, diikuti dengan menggunakannya untuk membuat akun pengguna administratif melalui titik akhir otomatisasi/tindakan.
Selain itu, serangan itu berupaya secara bersamaan bertujuan untuk CVE-2025-3102 (skor CVSS: 8.1), kelemahan lain dalam plugin yang sama yang juga telah dieksploitasi di alam liar sejak bulan lalu.
Ini telah meningkatkan kemungkinan bahwa para aktor ancaman secara oportunistik memindai instalasi WordPress untuk melihat apakah mereka rentan terhadap salah satu dari dua kekurangan. Alamat IP yang telah diamati menargetkan kerentanan tercantum di bawah ini –
- 2A0B: 4141: 820: 1f4 :: 2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
Mengingat bahwa plugin memiliki lebih dari 100.000 instalasi aktif, penting bagi pengguna untuk bergerak cepat untuk menerapkan tambalan terbaru (versi 1.0.83).
“Penyerang mungkin sudah mulai secara aktif menargetkan kerentanan ini pada awal 2 Mei 2025 dengan eksploitasi massal mulai 4 Mei 2025,” kata Wordfence.
