2025/05/06 SecurityOnline — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン OttoKit に発見された深刻な脆弱性により、無数の Web サイトがセキュリティ侵害の危険にさらされている。この脆弱性 CVE-2025-27007 (CVSS 9.8) は、Denver Jackson により発見され、Patchstack ゼロデイ・バグ報奨金プログラムを通じて公開された。そして、公開から1時間も経たないうちに悪用が始まってしまったという。
Patchstack は、「OttoKit プラグインには、認証を必要としない権限昇格の脆弱性が存在する。この脆弱性を悪用する攻撃者は、Web サイトの完全な制御を奪取し、管理者レベルの新たなユーザー・アカウントの作成を可能にする」と解説している。
Brainstorm Force により開発された OttoKit は、WordPress サイトをサードパーティ製ツールに接続し、複数のプラットフォーム間でタスクを自動化する、自動化/統合化のためのプラグインである。マーケティング/営業/eコマースなどの環境で、ワークフロー管理の合理化のために、広く使用されている。
この脆弱性は、プラグインの REST API エンドポイント (/wp-json/sure-triggers/v1/connection/create-wp-connection) からアクセスが可能な、create_wp_connection 関数に存在する。
wp_authenticate_application_password 関数から生じる、レスポンス処理における論理エラーと不十分なトークン検証により、管理者のユーザー名さえ知っている攻撃者であれば、この脆弱性を悪用できる。なお、管理者がアプリケーション・パスワードを設定していない場合には、悪意のユーザーによる認証の完全な回避にいたる。
このレポートは、「管理者のユーザー名を知っているユーザーであれば、この接続リクエストを作成できる」と警告している。
Patchstack によると、この脆弱性の悪用は、公開から1時間も経たずに開始されたとのことだ。 OttoKit を実行する Web サイトは、以下のログを、緊急に調査する必要がある:
- リクエスト:
- /wp-json/sure-triggers/v1/connection/create-wp-connection
- /wp-json/sure-triggers/v1/automation/action
- ペイロードに以下の内容が含まれている場合:
- “type_event”: “create_user_if_not_exists”
- 新しい管理者アカウントが突然表示される
対応すべきこと
- 修正プログラムが含まれている、OttoKit バージョン 1.0.83 以降へと速やかにアップデート。
- アクセス・ログにおいて、不審な REST API リクエストの有無を確認する。
- ユーザー・アカウントにおいて、予期しない管理者エントリの有無を監査する。
WordPress OttoKit の脆弱性 CVE-2025-27007 が FIX しましたが、すでに悪用が観測されているとのことです。さらに、同プラグインは、先月にも別の脆弱性が悪用されています (2025/04/11:WordPress OttoKit の脆弱性 CVE-2025-3102:パッチのリリースと積極的な悪用の検出)。ご利用のチームは、十分にご注意ください。よろしければ、WordPress で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.