WordPress-sites paar uur na bekendmaking OttoKit-lek aangevallen

In dit artikel:

Een kwetsbaarheid in de WordPress-plug-in OttoKit, voorheen bekend als SureTriggers, is kort na de ontdekking actief misbruikt door cyberaanvallers. Deze plug-in, die door meer dan honderdduizend websites wordt gebruikt voor automatisering tussen verschillende platforms, heeft een beveiligingslek waardoor ongeauthenticeerde aanvallers een admin-account kunnen aanmaken, op voorwaarde dat de plug-in geïnstalleerd is maar nog niet geconfigureerd met een API-key.

Het probleem ligt in de onvolledige controle van een specifieke HTTP-header, waardoor aanvallers met een lege waarde voor de secret key een kwetsbaarheid kunnen exploiteren. Dit maakt het mogelijk om toegang te krijgen tot bepaalde functies van de plug-in, inclusief het toevoegen van nieuwe admins. Hoewel de risico's relatief beperkt zijn gezien de specifieke voorwaarden, rapporteert het beveiligingsbedrijf Patchstack dat deze kwetsbaarheid binnen vier uur na de bekendmaking al werd misbruikt. Er is inmiddels een update beschikbaar, en beheerders van WordPress-websites worden dringend geadviseerd deze te installeren, aangezien veel sites nog niet zijn bijgewerkt.