Les pirates ont commencé à exploiter une faille de grande gravité qui permet de contourner l’authentification dans le plugin OttoKit (anciennement SureTriggers) pour WordPress quelques heures seulement après sa divulgation publique.
Il est fortement recommandé aux utilisateurs de passer à la dernière version d’OttoKit / SureTriggers, actuellement 1.0.79, publiée au début du mois.
Le plugin OttoKit WordPress permet aux utilisateurs de connecter des plugins et des outils externes tels que WooCommerce, Mailchimp et Google Sheets, d’automatiser des tâches telles que l’envoi d’e-mails et l’ajout d’utilisateurs, ou la mise à jour des CRM sans code. Les statistiques montrent que le produit est actif sur 100 000 sites Web.
Hier, Wordfence a révélé une vulnérabilité de contournement d’authentification dans OttoKit, identifiée comme CVE-2025-3102. La faille affecte toutes les versions de SureTriggers / OttoKit jusqu’à 1.0.78.
La faille provient d’une vérification de valeur vide manquante dans la fonction authenticate_user (), qui gère l’authentification de l’API REST. L’exploitation est possible si le plugin n’est pas configuré avec une clé API, ce qui fait que la clé secrète stockée reste vide.
Un attaquant pourrait exploiter cela en envoyant un en-tête st_authorization vide pour réussir la vérification et accorder un accès non autorisé aux points de terminaison d’API protégés.
Essentiellement, CVE-2025-3102 permet aux attaquants de créer de nouveaux comptes d’administrateur sans authentification, ce qui pose un risque élevé de prise de contrôle complète du site.
Wordfence a reçu un rapport sur la faille du chercheur en sécurité « mikemyers », qui a gagné une prime de 1 024 $pour la découverte à la mi-mars.
Le fournisseur du plugin a été contacté le 3 avril avec tous les détails d’exploitation, et ils ont publié un correctif via la version 1.0.79 le même jour.
Cependant, les pirates ont rapidement sauté sur l’occasion d’exploiter le problème, profitant du retard des administrateurs dans la mise à jour du plugin pour résoudre le problème de sécurité.
Les chercheurs de la plate-forme de sécurité WordPress Patchstack avertissent que les premières tentatives d’exploitation dans la nature n’ont été enregistrées que quelques heures après la divulgation de la faille.
” Les attaquants ont rapidement exploité cette vulnérabilité, la première tentative enregistrée s’étant produite quatre heures seulement après son ajout en tant que vPatch à notre base de données », rapporte Patchstack.
“Cette exploitation rapide met en évidence le besoin critique d’appliquer des correctifs ou des mesures d’atténuation immédiatement après la divulgation publique de telles vulnérabilités”, déclarent les chercheurs.
Les auteurs de la menace tentent de créer de nouveaux comptes d’administrateur en utilisant une combinaison aléatoire de nom d’utilisateur/mot de passe et d’adresse e-mail, signe d’automatisation des tâches.
Si vous utilisez OttoKit/SureTriggers, passez à la version 1.0.79 dès que possible et vérifiez les journaux pour les comptes administrateurs inattendus ou d’autres rôles d’utilisateur, l’installation de plugins/thèmes, les événements d’accès à la base de données et la modification des paramètres de sécurité.