CVE-2025-27007: маленькая функция, большой ад и куча новых админов без спроса

Плагин OttoKit для WordPress, установленный более чем на 100 тысячах сайтов, подвергся массовой атаке с использованием сразу двух уязвимостей, одна из которых получила оценку опасности, близкую к максимальной. По данным Wordfence, проблема затрагивает все версии плагина вплоть до 1.0.82 включительно. Атаки уже начались и продолжаются в настоящий момент.

Критическая уязвимость CVE-2025-27007 с рейтингом 9.8 по шкале CVSS позволяет получить повышенные привилегии без предварительной авторизации. Проблема кроется в функции create_wp_connection(), которая не проверяет права доступа и недостаточно надёжно подтверждает подлинность пользователя. Это даёт злоумышленникам возможность установить соединение с сайтом и затем повысить свои привилегии до уровня администратора.

Атака возможна в двух сценариях: если на сайте никогда не использовались пароли приложений, или если атакующий уже авторизован и способен сгенерировать такой пароль. В ряде случаев злоумышленники создают административные аккаунты через специальную автоматизированную конечную точку.

Параллельно используется и другая уязвимость — CVE-2025-3102 (CVSS 8.1), которая также активно эксплуатируется с апреля. По данным специалистов, вредоносные сканеры ищут сайты, подверженные хотя бы одной из этих уязвимостей, и атакуют их автоматически. Среди задействованных IP-адресов значатся как европейские, так и американские хостинги.

Массовый характер атаки приобрели 4 мая. Несмотря на это, далеко не все владельцы сайтов успели обновить плагин до версии 1.0.83, где проблема уже устранена.

Плагин OttoKit, ранее известный как SureTriggers, позволяет создавать автоматизации в WordPress и часто используется для интеграции внешних сервисов. Попадание таких инструментов в руки злоумышленников может привести к полной компрометации сайта. Учитывая простоту эксплуатации и активное использование уязвимостей, обновление до последней версии становится не рекомендацией, а срочной необходимостью.