OttoKit WordPress Eklentisindeki Açık, Yetkisiz Yönetici Hesaplarının Oluşturulmasına Yol Açıyor
WordPress tabanlı sitelerde yaygın olarak kullanılan OttoKit (eski adıyla SureTriggers) eklentisinde keşfedilen kritik bir güvenlik açığı, saldırganlar tarafından aktif olarak istismar ediliyor. Bu açık sayesinde kötü niyetli kişiler, hiçbir kimlik doğrulama gerektirmeden sahte yönetici hesapları oluşturabiliyor.
100.000’den Fazla Sitenin Güvenliği Tehlikeye Girdi
Otomasyon ve entegrasyon amacıyla kullanılan OttoKit eklentisi, üçüncü parti hizmetlerle bağlantı kurmayı ve iş akışlarını otomatikleştirmeyi sağlıyor. Nisan 2025 itibarıyla 100.000’den fazla sitede etkin olarak kullanılıyor.
CVE-2025-27007 olarak tanımlanan bu kritik açık, eklentinin ‘create_wp_connection’ işlevinde yer alan mantık hatasından kaynaklanıyor. Araştırmacı Denver Jackson tarafından tespit edilen açık, eklentinin API’si üzerinden kimlik doğrulaması atlanarak yönetici erişimi elde edilmesini mümkün kılıyor.
Eklenti geliştiricisi, açıkla ilgili bilgilendirildikten kısa süre sonra, 21 nisan 2025 tarihinde 1.0.83 sürümü ile güvenlik yamasını yayınladı. Bu sürümle birlikte erişim anahtarları için doğrulama kontrolü eklendi. 24 nisan itibarıyla çoğu kullanıcı, otomatik olarak güncellenmiş durumda.
Ancak, 5 mayıs 2025’te kamuya açıklanan güvenlik raporundan yalnızca 90 dakika sonra saldırılar başladı. Saldırganlar, REST API uç noktalarına meşru entegrasyon taleplerini taklit eden istekler göndererek zafiyeti istismar etmeye çalıştı. Bu isteklerde:
- Tahmin edilen ya da kaba kuvvetle belirlenen yönetici kullanıcı adları
- Rastgele şifreler
- Sahte erişim anahtarları ve e-posta adresleri kullanıldı
İstismarın ardından saldırganlar, aşağıdaki API uç noktalarına da istekler gönderdi:
/wp-json/sure-triggers/v1/automation/action?rest_route=/wp-json/sure-triggers/v1/automation/action
Bu taleplerin içinde “type_event”: “create_user_if_not_exists” şeklinde bir yük yer aldı. Bu ifade, eğer kullanıcı yoksa yönetici yetkileriyle sessizce yeni bir kullanıcı oluşturulmasını sağlıyor.
Nisan ayında OttoKit’te tespit edilen başka bir kritik güvenlik açığı olan CVE-2025-3102 da benzer biçimde istismar edilmişti. O açığın da açıklanmasının ardından aynı gün içinde saldırılar başlamıştı. Her iki açık da saldırganların otomatikleştirilmiş yöntemlerle rastgele kullanıcı adı, şifre ve e-posta adresiyle sahte yönetici hesapları oluşturduğunu gösteriyor.
Patchstack, OttoKit eklentisini kullanan tüm site sahiplerinin en kısa sürede eklentiyi güncelleyerek 1.0.83 veya daha yeni sürüme geçmeleri, ayrıca log kayıtlarını ve kullanıcı listelerini şüpheli etkinlikler açısından incelemeleri gerektiğini vurguluyor.
