Lỗ hổng nghiêm trọng trong OttoKit WordPress bị tin tặc khai thác trên diện rộng

[WhiteHat Team]

Lỗ hổng bảo mật nghiêm trọng (CVE-2025-3102, còn được theo dõi với mã khác là CVE-2025-27007) đã được phát hiện trong plugin OttoKit WordPress (trước đây gọi là SureTriggers) là một plugin tự động hóa và tích hợp cho WordPress, đang được sử dụng trên hơn 100.000 trang web. Plugin này cho phép người dùng kết nối trang web của họ với các dịch vụ bên thứ ba và tự động hóa các quy trình công việc.

Chi tiết kỹ thuật lỗ hổng:

• Lỗ hổng tồn tại trong API REST của OttoKit, cụ thể là trong hàm create_wp_connection.
• Nếu website chưa thiết lập application passwords, tin tặc có thể bỏ qua xác thực và gửi yêu cầu giả mạo đến endpoint API để chiếm quyền quản trị.
• Payload tấn công chứa tham số "type_event": "create_user_if_not_exists", cho phép tự động tạo tài khoản admin nếu chưa tồn tại.

Đây là lỗ hổng nghiêm trọng thứ hai trong plugin OttoKit chỉ trong vòng chưa đầy một tháng. Các cuộc tấn công đã diễn ra ngay sau khi lỗ hổng được công bố, với các tài khoản giả mạo có tên như “xtw1838783bc” và địa chỉ IP liên quan như 2a01\:e5c0:3167::2. Lỗi được phát hiện từ tháng 3/2025 và đã được nhà phát triển vá trong các phiên bản 1.0.79 và 1.0.83.

Khuyến cáo dành cho quản trị viên và người dùng:

• Kiểm tra ngay phiên bản OttoKit đang sử dụng. Nếu chưa cập nhật lên bản 1.0.83 trở lên, hãy cập nhật ngay lập tức từ kho plugin chính thức.
• Xem lại nhật ký truy cập (access logs) và người dùng hệ thống, đặc biệt là các tài khoản admin mới được tạo sau ngày 21/04/2025.
• Tắt các endpoint API không sử dụng và cân nhắc dùng plugin bảo mật để giới hạn truy cập REST API.
• Bật và sử dụng Application Passwords để tránh các tình huống tương tự.
• Kiểm tra nhật ký hệ thống để phát hiện và gỡ bỏ các tài khoản quản trị đáng ngờ đã bị cài cắm.

Theo Security Online​