A támadók aktívan kihasználták az OttoKit (korábban SureTriggers) WordPress beépülő modul két kritikus sérülékenységét. Az egyik a CVE-2025-27007 (CVSS pontszám: 9.8) azonosítón nyomon követett jogosultság kiterjesztési sebezhetőség, amely a bővítmény 1.0.82-es és korábbi verzióit érinti.
A Wordfence tájékoztatása alapján a ’create_wp_connection()’ függvény nem ellenőrizte megfelelően a felhasználók hitelesítését, ami lehetővé tette, hogy a támadók jogosultságot szerezzenek. A sebezhetőséget a nyilvánosságra hozatalt követően 91 percen belül kihasználták. A támadók automatizált támadásokat indítottak, hogy adminisztrátori fiókokat hozzanak létre a sérülékeny oldalakon.
Ezzel párhuzamosan a plugin másik, a CVE-2025-3102 (CVSS pontszám: 8.1) azonosítón nyomon követett hitelesítés megkerülésére irányuló sebezhetőségét is kihasználják a támadási kísérletek során.
Nem zárható ki annak eshetősége, hogy a fenyegető felek átvizsgálják a WordPress-alapú rendszereket, hogy feltárják a két ismert sérülékenység valamelyikének jelenlétét. Az eddig megfigyelt támadási kísérletek az alábbi ip címekről érkeztek:
- 2A0B:4141:820:1F4::2
- 216.188.205
- 91.119.115
- 87.29.57
- 251.69.118
- 189.29.12
- 185.123.102
- 98.51.24
- 98.52.226
- 195.248.147
Tekintettel arra, hogy a bővítmény több mint 100 000 aktív telepítéssel rendelkezik, a felhasználóknak javasolt frissíteni a legújabb 1.0.83-as verzióra.