
هکرها از یک آسیبپذیری بحرانی تصاعد امتیاز بدون احراز هویت در افزونه وردپرس OttoKit برای ایجاد حسابهای مدیر جعلی در سایتهای هدف سوءاستفاده میکنند. این افزونه که در بیش از ۱۰۰ هزار سایت استفاده میشود، امکان اتصال وبسایتها به سرویسهای شخص ثالث و خودکارسازی گردش کار را فراهم میکند. آسیبپذیری با شناسه CVE-2025-27007 در ۱۱ آوریل ۲۰۲۵ گزارش شد و امکان دسترسی مدیریتی از طریق API افزونه را با بهرهبرداری از خطای منطقی در تابع ‘create_wp_connection’ فراهم میکند.
پچ امنیتی در ۲۱ آوریل ۲۰۲۵ منتشر شد، اما تقریباً ۹۰ دقیقه پس از افشای عمومی، حملات شروع شدند. مهاجمان با ارسال درخواستهای جعلی به نقاط پایانی REST API و استفاده از نامهای کاربری مدیر حدس زده شده، سعی در ایجاد حسابهای مدیر جدید دارند. این دومین آسیبپذیری بحرانی در OttoKit از آوریل ۲۰۲۵ است که مورد سوءاستفاده قرار گرفته، و قبلی نیز یک باگ دور زدن احراز هویت با شناسه CVE-2025-3102 بود که در همان روز افشا مورد بهرهبرداری قرار گرفت.
کلمات کلیدی : آسیبپذیری وردپرس, هکر OttoKit, CVE-2025-27007, تصاعد امتیاز, REST API امنیت, افزونه وردپرس آسیبپذیری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.