Een kwetsbaarheid in de WordPress-plug-in OttoKit, eerder nog bekend als SureTriggers, is een paar uur na de bekendmaking al misbruikt bij het aanvallen van websites. OttoKit is een automatiseringsplatform dat processen tussen verschillende websites, applicaties en WordPress-plug-ins automatiseert. Meer dan honderdduizend WordPress-sites maken er actief gebruik van, aldus cijfers van WordPress.org.

Een beveiligingslek in de plug-in maakt een 'authentication bypass' mogelijk, waardoor een ongeauthenticeerde aanvaller een admin-account kan aanmaken. Voorwaarde is wel dat de plug-in is geïnstalleerd, maar nog niet geactiveerd met een API-key. De plug-in blijkt een bepaalde autorisatie HTTP-header niet goed te controleren, waardoor een aanvaller zonder geldige inloggegevens een account kan aanmaken.

"De controle is onvolledig omdat het alleen de secret key in de header vergelijkt met de secret key die in de plug-in is ingesteld, en mist een controle op lege waardes. Dit houdt in dat als de aanvaller een lege waarde waarde voor de secret key opgeeft en de plug-in niet is geconfigureerd, wat inhoudt dat de waarde van de secret key in de database ook leeg is, de boolean conditie waar is en de aanvaller het REST API endpoint kan benaderen en verschillende acties kan uitvoeren, waaronder een nieuwe admin toevoegen", aldus securitybedrijf Wordfence.

Vanwege deze voorwaarde wordt aangenomen dat het aantal WordPress-sites dat daadwerkelijk risico loopt beperkt is. Volgens securitybedrijf Patchstack werd de kwetsbaarheid binnen vier uur na de bekendmaking al gebruikt bij aanvallen. Er is een update van de plug-in beschikbaar en beheerders worden opgeroepen die te installeren. Uit cijfers van WordPress.org blijkt dat tienduizenden websites nog niet up-to-date zijn.