Эксплойт за 4 часа: как хакеры воспользовались багом в OttoKit
🔍 Уязвимость CVE-2025-3102 в WordPress-плагине OttoKit (ранее SureTriggers) позволяет обойти авторизацию через REST API. Ошибка в функции authenticate_user() не проверяет пустой secret_key, что даёт хакерам доступ к защищённым эндпоинтам.
📈 Плагин используется на более чем 100 тысячах сайтов WordPress. OttoKit автоматизирует действия вроде рассылок, регистрации пользователей и обновления CRM без кода, что делает его особенно привлекательной целью.
⚠️ Эксплуатация началась всего через 4 часа после публикации уязвимости. Хакеры создают новые аккаунты администраторов со случайными логинами и паролями, что говорит об автоматизированной атаке.
#wordpress #ottokit #уязвимость #эксплойт
@ZerodayAlert
🔍 Уязвимость CVE-2025-3102 в WordPress-плагине OttoKit (ранее SureTriggers) позволяет обойти авторизацию через REST API. Ошибка в функции authenticate_user() не проверяет пустой secret_key, что даёт хакерам доступ к защищённым эндпоинтам.
📈 Плагин используется на более чем 100 тысячах сайтов WordPress. OttoKit автоматизирует действия вроде рассылок, регистрации пользователей и обновления CRM без кода, что делает его особенно привлекательной целью.
⚠️ Эксплуатация началась всего через 4 часа после публикации уязвимости. Хакеры создают новые аккаунты администраторов со случайными логинами и паролями, что говорит об автоматизированной атаке.
#wordpress #ottokit #уязвимость #эксплойт
@ZerodayAlert
SecurityLab.ru
Обновите OttoKit немедленно: хакеры атаковали WordPress уже через 4 часа после публикации CVE
Пустая строка вместо ключа авторизации открывает полный доступ к веб-ресурсам.
🔥3