Bleeping Computerは4月10日(米国時間)、「Hackers exploit WordPress plugin auth bypass hours after disclosure」において、WordPressのオートメーションプラットフォームプラグイン「OttoKit(旧称:SureTriggers)」から脆弱性が発見されたと報じた。
脆弱性の情報公開から数時間後には悪用が開始されたとして注意を喚起している。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-3102 - 不正確な比較の脆弱性。認証されていないリモートの攻撃者は、認証をバイパスして管理者アカウントを作成できる可能性がある(CVSSスコア: 8.1)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- OttoKit(SureTriggers) 1.0.78およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- OttoKit(SureTriggers) 1.0.79
影響と対策
OttoKit(旧称:SureTriggers)は異なるWebサイト、アプリケーション、およびWordPressプラグイン間のプロセスをつなぐ人気の自動化プラットフォーム。10万以上のWebサイトにて利用されている。
この脆弱性を悪用されると。管理者アカウントを作成されてWebサイトを乗っ取られる可能性がある。Patchstackは脆弱性の情報公開から数時間後には悪用の試みが観察されたとして注意を呼びかけている(参考:「Critical SureTriggers Plugin Vulnerability Exploited within 4 hours - Patchstack」)。
なお、この脆弱性はプラグインのAPIキーが未設定の場合に限り攻撃可能とされる。APIキーが設定されている場合、認証をバイパスされる恐れはない。
当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。また、すでに侵害されている可能性があるとして、Bleeping Computerは不審な管理者アカウント、未知のプラグイン、データベースのアクセス履歴、設定変更の有無などを調査するように推奨している。