Ottokit WordPress eklentisi, birden fazla kusuru hedefleyen istismarların vurduğu 100K+ kurulumları

   Mayıs 7, 2025  Posted in TheHackerNews


07 Mayıs 2025Ravie LakshmananGüvenlik Açığı / Web Güvenliği

Ottokit’i etkileyen ikinci bir güvenlik kusuru (eski adıyla Seramikler) WordPress eklentisi, vahşi doğada aktif sömürü altına girmiştir.

CVE-2025-27007 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, 1.0.82 sürümünden önce ve dahil olmak üzere eklentinin tüm sürümlerini etkileyen bir ayrıcalık artış hatasıdır.

WordFence, “Bu, Create_wp_Connection () işlevinin bir özellik kontrolü eksik ve bir kullanıcının kimlik doğrulama kimlik bilgilerini yetersiz doğrulamasından kaynaklanıyor.” Dedi. Diyerek şöyle devam etti: “Bu, kimlik doğrulanmamış saldırganların nihayetinde ayrıcalık artışını mümkün kılabilecek bir bağlantı kurmasını mümkün kılar.”

Bununla birlikte, güvenlik açığı sadece iki olası senaryoda kullanılabilir –

  • Bir site hiç bir uygulama şifresini etkinleştirmediğinde veya kullanmadığında ve Ottokit daha önce bir uygulama şifresi kullanarak web sitesine hiç bağlanmamış
  • Bir saldırgan bir siteye erişimi doğruladığında ve geçerli bir uygulama şifresi oluşturabildiğinde

WordFence, Site ile bağlantı kurmak için ilk bağlantı güvenlik açığından yararlanmaya çalışan tehdit aktörlerini gözlemlediğini ve ardından otomasyon/eylem uç noktası aracılığıyla yönetimsel bir kullanıcı hesabı oluşturmak için kullandığını ortaya koydu.

Siber güvenlik

Ayrıca, saldırı aynı şekilde geçen aydan bu yana vahşi doğada da sömürülen aynı eklentide başka bir kusur olan CVE-2025-3102’yi (CVSS skoru: 8.1) aynı anda hedefliyor.

Bu, tehdit aktörlerinin iki kusurdan herhangi birine duyarlı olup olmadıklarını görmek için WordPress kurulumlarını fırsatçı bir şekilde tarama olasılığını artırdı. Güvenlik açıklarını hedefleyen gözlemlenen IP adresleri aşağıda listelenmiştir –

  • 2A0b: 4141: 820: 1f4 :: 2
  • 41.216.188.205
  • 144.91.119.115
  • 194.87.29.57
  • 196.251.69.118
  • 107.189.29.12
  • 205.185.123.102
  • 198.98.51.24
  • 198.98.52.226
  • 199.195.248.147

Eklentinin 100.000’den fazla aktif kurulumu olduğu göz önüne alındığında, kullanıcıların en son yamaları uygulamak için hızlı hareket etmesi önemlidir (sürüm 1.0.83).

WordFence, “Saldırganlar, 4 Mayıs 2025’ten başlayan kitlesel sömürü ile 2 Mayıs 2025’in başlarında bu güvenlik açığını aktif olarak hedeflemeye başlamış olabilirler.” Dedi.

Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link