OttoKit(旧SureTriggers)WordPressプラグインに影響を与える2つ目のセキュリティ欠陥が、野外での積極的な悪用の対象となっています。
この脆弱性はCVE-2025-27007(CVSSスコア: 9.8)として追跡されており、バージョン1.0.82以前のすべてのバージョンのプラグインに影響を与える権限昇格バグです。
“これは、create_wp_connection() 関数が能力チェックを欠いており、ユーザーの認証資格情報を十分に検証していないためです”とWordfenceは述べています。”これにより、認証されていない攻撃者が接続を確立することが可能になり、最終的に権限昇格が可能になります。”
とはいえ、この脆弱性は次の2つのシナリオでのみ悪用可能です –
- サイトがアプリケーションパスワードを一度も有効化または使用したことがなく、OttoKitがアプリケーションパスワードを使用してウェブサイトに接続されたことがない場合
- 攻撃者がサイトへの認証されたアクセスを持ち、有効なアプリケーションパスワードを生成できる場合
Wordfenceは、脅威アクターが初期接続の脆弱性を悪用してサイトとの接続を確立し、それを使用して自動化/アクションエンドポイントを介して管理者ユーザーアカウントを作成しようとする試みを観察したと明らかにしました。
さらに、攻撃の試みは同時にCVE-2025-3102(CVSSスコア: 8.1)も狙っており、これは先月から野外で悪用されている同じプラグインの別の欠陥です。
これにより、脅威アクターがWordPressインストールを機会的にスキャンして、2つの欠陥のいずれかに脆弱かどうかを確認している可能性が高まっています。脆弱性を狙っていることが観察されたIPアドレスは以下の通りです –
- 2a0b:4141:820:1f4::2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
プラグインが10万以上のアクティブインストールを持っていることを考えると、ユーザーが迅速に最新のパッチ(バージョン1.0.83)を適用することが重要です。
“攻撃者は2025年5月2日にはこの脆弱性を積極的に狙い始め、2025年5月4日には大規模な悪用が始まった可能性があります”とWordfenceは述べています。
翻訳元: https://thehackernews.com/2025/05/ottokit-wordpress-plugin-with-100k.html