Des pirates exploitent une vulnérabilité critique contournant l’authentification dans l’extension OttoKit pour WordPress.
Une faille critique a été découverte dans l’extension WordPress populaire OttoKit, qui fait actuellement l’objet d’une exploitation active. La vulnérabilité (CVE-2025-3102) permet aux attaquants d’accéder sans autorisation aux API et même de créer des comptes administrateurs sans se connecter.
L’extension est active sur environ 100 000 sites web et permet aux utilisateurs de connecter et d’automatiser des outils tels que WooCommerce, Mailchimp et Google Sheets sans code.
Quelle est la nature du problème ?
Le problème réside dans la fonction authenticate_user() de l’API REST. Si l’extension n’a pas de clé API définie, une clé interne reste vide et n’est pas correctement vérifiée. Un pirate peut donc obtenir l’accès en envoyant un st_authorization header vide.
lire aussi
10 000 sites web WordPress transformés en centre de distribution de logiciels malveillants
Le 3 avril, le spécialiste en sécurité Wordfence a été informé de la faille, suite à quoi l’entreprise derrière l’extension a été immédiatement contactée. Le même jour, Ottokit a déployé un correctif via la version 1.0.79. La mise à jour s’est déroulée assez lentement, et les pirates en ont rapidement profité. « Les attaquants ont rapidement exploité cette vulnérabilité ; seulement quatre heures après que la faille ait été révélée », déclare la société de sécurité Patchstack.
Quelles mesures devez-vous prendre ?
Mettez à jour OttoKit vers la version 1.0.79. Ensuite, vérifiez votre liste d’utilisateurs à la recherche de comptes administrateurs suspects avec des noms d’utilisateurs aléatoires ou des adresses e-mail inconnues. Enfin, examinez les journaux pour détecter des activités suspectes telles que l’installation d’extensions, des modifications des paramètres de sécurité ou des actions sur la base de données.
Il est vivement conseillé aux administrateurs d’appliquer les mises à jour de sécurité le plus rapidement possible.