بیش از ۱۰۰ هزار وبسایت وردپرسی که از افزونه OttoKit (معروف به SureTriggers) استفاده میکنند در معرض یک آسیبپذیری بحرانی قرار گرفتهاند که به مهاجمان اجازه میدهد حسابهای غیرمجاز با سطح دسترسی مدیر ایجاد کنند.
این ضعف امنیتی با شناسه CVE-2025-3102 و امتیاز CVSS معادل ۸.۱ (سطح بالا) تمامی نسخههای این افزونه تا نسخه 1.0.78 را تحت تاثیر قرار میدهد.
آسیبپذیری یاد شده زمانی فعال میشود که افزونه روی سایت نصب و فعال شده اما بدون کلید API پیکربندی شده باشد. در چنین شرایطی، مهاجم میتواند بدون احراز هویت، حساب کاربری با سطح دسترسی مدیر ایجاد کرده و کنترل کامل سایت را در دست بگیرد. از این طریق، امکان بارگذاری افزونههای مخرب، تغییر محتوای سایت، انتشار بدافزار، ارسال اسپم یا هدایت بازدیدکنندگان به صفحات آلوده فراهم میشود.
این آسیبپذیری نخستین بار در ۱۳ مارس ۲۰۲۵ توسط پژوهشگران Wordfence از طریق برنامه باگ بانتی شناسایی شد. پژوهشگر امنیتی با نام مایکل مازولینی که این نقص را بهصورت مسئولانه گزارش کرد، پاداشی معادل ۱۰۲۴ دلار دریافت کرد.
پس از اطلاعرسانی به تیم توسعهدهنده افزونه، شرکت Brainstorm Force در تاریخ ۳ آوریل ۲۰۲۵ نسخه اصلاحشدهای از افزونه را منتشر کرد. با این حال به گفته کارشناسان امنیت، هکرها در حال حاضر به شکل فعالانه مشغول سوءاستفاده از این آسیبپذیریاند.
به مدیران وبسایتهایی که از این افزونه استفاده میکنند توصیه میشود هر چه سریعتر آن را بهروزرسانی کرده و از پیکربندی صحیح کلید API اطمینان حاصل کنند.
توضیحات بیشتر:
100,000 WordPress Sites Vulnerable to Rogue Creation Vulnerability