WordPress-sites aangevallen via kritiek lek in OttoKit-plug-in

In dit artikel:

Een kritieke kwetsbaarheid (CVE-2025-27007) in de WordPress-plug-in OttoKit, voorheen bekend als SureTriggers, stelt ongeauthenticeerde aanvallers in staat om beheerdersrechten op websites te verkrijgen. Deze plug-in, die door meer dan honderdduizend WordPress-sites wordt gebruikt, automatiseert processen tussen websites, applicaties en plug-ins. De kwetsbaarheid ontstaat doordat inloggegevens onvoldoende worden geverifieerd, waardoor een aanvaller zonder legitimatie verbinding kan maken en zijn rechten kan escaleren tot admin.

Volgens beveiligingsbedrijf Wordfence zijn er twee aanvalsscenario’s: het eerste waarbij de website nooit een applicatiewachtwoord heeft ingeschakeld en de plug-in nooit via zo’n wachtwoord verbinding heeft gemaakt, en het tweede waarbij een aanvaller zich al kan authenticeren en vervolgens een applicatiewachtwoord genereert. De actuele aanvallen richten zich vooral op het eerste scenario, waarbij aanvallers proberen een nieuwe administratoraccount aan te maken.

Eerder, in april, werd ook een ander beveiligingslek (CVE-2025-3102) geïdentificeerd en misbruikt binnen OttoKit/SureTriggers. Sinds 2 mei vinden gecombineerde aanvallen op basis van beide kwetsbaarheden plaats. Versie 1.0.83, die op 21 april werd uitgebracht, verhelpt het probleem, maar tienduizenden WordPress-sites zijn nog niet bijgewerkt. Eigenaren van sites die de plug-in gebruiken worden dringend geadviseerd direct te updaten en te controleren op onbekende beheerdersaccounts.