Vulnerability in OttoKit WordPress Plugin Exploited in the Wild
2025/04/11 SecurityWeek — WordPress プラグインである OttoKit の脆弱性を、脅威アクターたちが積極的に悪用しており、多くの Web サイトに深刻な侵害の可能性があると、WordPress セキュリティ企業の Wordfence が警告している。以前には SureTriggers という名称だった OttoKit:All-in-One Automation Platform は、Web サイト管理者によるタスクの自動化と、アプリケーション/Web サイト/WordPress プラグインの連携を担うプラグインである。
このプラグインは、10万件以上のアクティブ・インストール数を誇るが、乗っ取りの危険にさらされている。このプラグインを使用する、すべての Web サイトには、深刻度の高い認証バイパスの脆弱性が存在し、新しい管理者アカウントの作成を、攻撃者に許す可能性があるという。
この脆弱性 CVE-2025-3102 (CVSS:8.1) は、権限検証を実行する関数における、空の値に対するチェックの欠落に起因する。
この関数は、プラグイン・データベース内の秘密鍵と、ヘッダー内の秘密鍵だけを比較するという欠陥を持つ。したがって、プラグインが適切にコンフィグされていない場合に、攻撃者が秘密鍵に空の値を指定すると、データベース内の空の鍵値と照合されてしまう。
つまり、この欠陥を悪用する攻撃者は、さまざまなアクションを処理する REST API エンドポイントへのアクセスを達成し、新しい管理者アカウントの作成といった操作を可能にする。それにより、攻撃者は、影響を受けるサイトを完全に制御できるようになる。
Wordfence は、「攻撃者は、通常の管理者と同様に、標的サイト上の全操作を実行できるようになる。そこに含まれるものには、バックドアを仕込んだ悪意のプラグインやテーマのアップロードや、ポストやページの改竄による悪意のサイトへのリダイレクト、スパム・コンテンツの挿入などがある」と述べている。
ただし、このセキュリティ上の欠陥を悪用する前提として、プラグインがインストールされ有効化されているが、API キーがコンフィグされない状況が必要になる。つまり、新規のインストールであり、未コンフィグの場合とのきだけ、攻撃の可能性が生じる。
Wordfence は、「10万以上のサイトに、このプラグインがインストールされ、脆弱性が存在しているが、実際に悪用されるのは、ごく一部のサイトに限られる。つまり、プラグインが未コンフィグの状態であることが、悪用の条件となるからだ」と説明している。
その一方で Wordfence は、この脆弱性が実際に悪用される可能性についても警告している。そして、プラグインのユーザーに対して強く推奨するのは、このバグが修正された OttoKit バージョン1.0.79 以降への、速やかなアップデートである。
4月3日の時点で、Wordfence は問題をプラグイン開発者に報告し、同日に修正プログラムがリリースされた。Wordfence によると、この脆弱性を発見した研究者には、$1,024 バグ報奨金が支払われたとのことだ。
この記事によると、OttoKit は、他のプラグイン間の連携なども行うようであり、ちょっと特殊なプラグンという感じがします。2025/04/10 の「WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供」と被ってしまった感じがしますが、よろしければ、そちらも ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.