Ottokit’i (eski adıyla Seratiferler) etkileyen yeni açıklanan yüksek şiddetli bir güvenlik kusuru, birkaç saat içinde kamu açıklamasından sonra aktif sömürü altına girmiştir.
Güvenlik açığı, CVE-2025-3102 (CVSS puanı: 8.1), bir saldırganın belirli koşullar altında yönetici hesapları oluşturmasına ve duyarlı web sitelerinin kontrolünü ele geçirmesine izin verebilecek bir yetkilendirme baypas hatasıdır.
“Suretriggers: WordPress için hepsi bir arada otomasyon platformu eklentisi, WordFence’s ISTVán Márton’a kadar olan tüm versiyonlardaki ‘Authretticate_user’ işlevindeki ‘Secret_key’ değerinde eksik bir boş değer kontrolü nedeniyle yönetimsel hesap oluşturmaya yol açan bir kimlik doğrulama baypasına karşı savunmasızdır.
“Bu, eklentilmemiş saldırganların eklenti yüklendiğinde ve etkinleştirildiğinde ancak bir API anahtarı ile yapılandırılmadığında hedef web sitesinde yönetici hesapları oluşturmasını mümkün kılar.”
Güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın bir WordPress sitesi üzerinde tam kontrol sahibi olmasına ve keyfi eklentiler yüklemeye yetkisiz erişimi kullanmasına, kötü amaçlı yazılım veya spam sunmak için kötü amaçlı değişiklikler yapmasına ve hatta site ziyaretçilerini diğer kabataslak web sitelerine yönlendirmesine izin verebilir.
Güvenlik araştırmacısı Michael Mazzolini (diğer adıyla Mikemyers) 13 Mart 2025’te kusurun keşfedilmesi ve raporlanmasıyla kredilendirildi. Sorun, 3 Nisan 2025’te yayınlanan eklentinin 1.0.79 sürümünde ele alındı.
Ottokit, WordPress kullanıcılarının tekrarlayan görevleri otomatikleştirmek için kullanılabilecek iş akışları aracılığıyla farklı uygulamaları ve eklentileri bağlama yeteneği sunar.
Eklenti 100.000’den fazla aktif kuruluma sahip olsa da, eklenti üzerindeki menteşe, kurulmuş ve etkinleştirilmesine rağmen yapılandırılmamış bir durumda olması nedeniyle web sitelerinin yalnızca bir alt kümesinin gerçekten kullanılabilir olduğunu belirtmektedir.
Bununla birlikte, saldırganlar, Patchtack başına “XTW1838783BC” adıyla sahte yönetici hesapları oluşturmak için açıklamadan hızla yararlanmaya çalışarak, istismar bandwagonuna atladılar.
WordPress güvenlik şirketi, “Randomize edildiğinden, kullanıcı adı, şifre ve e -posta takma adının her bir sömürü denemesi için farklı olacağını varsayması büyük olasılıkla.” Dedi.
Saldırı girişimleri iki farklı IP adresinden kaynaklandı –
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
Aktif sömürü ışığında, eklentiye dayanan WordPress site sahiplerine güncellemeleri en kısa sürede optimum koruma için uygulamaları, şüpheli yönetici hesaplarını kontrol etmeleri ve bunları kaldırmaları önerilir.