Ottokit插件很容易受到一个关键缺陷,该缺陷允许创建新的Admin Accountit,于2025年4月下旬进行了修补,因此用户应更新NowThroteat Actors正在寻找暴露的网站
流行的自动化WordPress插件Ottokit很容易受到严重的严重缺陷,该缺陷使威胁参与者可以接管整个网站。
该错误被描述为允许特权升级的头脑风暴武力中错误的特权分配缺陷。它影响了网站Builder插件的所有旧版本,直到2025年4月21日发布的1.0.83版本。它被跟踪为CVE-2025-27007,严重性得分为9.8/10(关键)。
从理论上讲,威胁参与者可以向Ottokit暴露的脆弱的REST API端点发送精心设计的POST请求,其中包含模仿内部插件逻辑的自动化数据。由于缺少验证,Ottokit将无法正确身份验证请求,并且由于自动化逻辑具有提高特权,因此最终允许威胁行为者创建一个新的用户帐户并将其分配给管理员角色。
你可能喜欢
WordPress插件Auth旁路几乎在披露后立即被利用
这个顶级WordPress插件可能会隐藏令人担忧的安全漏洞,因此请在警卫上
另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险
以每月1.67美元的价格获得个人饲养员个人,只需$ 3.54每月的饲养员家庭,而饲养员的业务仅为每月7美元
Keeper是一个网络安全平台,主要以其密码管理器和数字保险库而闻名,旨在帮助个人,家庭和企业安全地存储和管理密码,敏感文件和其他私人数据。
它使用零知识加密,并提供诸如两因素身份验证,暗网监视,安全文件存储和漏洞警报之类的功能,以防止网络威胁。
首选合作伙伴(这是什么意思?)查看交易
聊天泄漏
Ottokit(以前称为Suretriggers)旨在将网站与各种第三方服务连接起来,并在不编码的情况下启用工作流动自动化。
它支持与WooCommerce,MailChimp,Google Sheets和CRMs等平台的集成,允许用户运行诸如发送电子邮件,更新用户角色或跨应用程序同步数据之类的任务。
该插件具有超过100,000个用户,但是其中大多数已经应用了补丁。安全研究人员PatchStack表示,他们观察到野外的攻击,几乎是在公开披露该缺陷之后立即开始的。
PatchStack说:“强烈建议您使用Ottokit插件尽快更新您的网站,并查看这些攻击和妥协指标的日志和站点设置。”
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
这是本月Ottokit中第二个主要漏洞,仅次于CVE-2025-3102,这是另一个身份验证旁路缺陷,其“高”严重性得分为8.1/10。
通过BleepingComputer
您可能还喜欢
Fortinet防火墙错误是Lockbit勒索软件黑客震撼的目标
