Hackers misbruiken een kritieke kwetsbaarheid die authenticatie omzeilt in de OttoKit-plug-in voor WordPress.
Er is een kritiek lek in de populaire WordPress-plug-in OttoKit ontdekt, dat actief wordt misbruikt. De kwetsbaarheid (CVE-2025-3102) stelt aanvallers in staat om ongeautoriseerd toegang te krijgen tot API’s en zelfs administratoraccounts aan te maken zonder in te loggen.
De plug-in is actief op zo’n 100.000 websites en laat gebruikers tools zoals WooCommerce, Mailchimp en Google Sheets koppelen en automatiseren zonder code.
Wat is er mis?
Het probleem zit in de authenticate_user()-functie van de REST API. Als de plugin geen API-sleutel heeft ingesteld, blijft een interne sleutel leeg en wordt die niet juist gecontroleerd. Een hacker zich daarom toegang verschaffen door een lege st_authorization header mee te sturen.
lees ook
10.000 WordPress-websites omgebouwd tot verdeelcentrum voor malware
Op drie april werd beveiligingsspecialist Wordfence op de hoogte gebracht van het lek, waarna er onmiddellijk contact opgenomen werd met het bedrijf achter de plug-in. Diezelfde dag heeft Ottokit een patch uitgerold via versie 1.0.79. Het updaten verliep nogal traag, en hackers maakten daar snel misbruik van. “Aanvallers hebben deze kwetsbaarheid snel uitgebuit; slechts vier uur nadat het lek bekend werd gemaakt,” zegt beveiligingsbedrijf Patchstack.
Wat moet je doen?
Update OttoKit naar versie 1.0.79. Controleer je gebruikerslijst daarna op verdachte administratoraccounts met willekeurige gebruikersnamen of onbekende e-mailadressen. Ten slotte bekijk je logs op verdachte activiteiten zoals installatie van plug-ins, aanpassingen aan beveiligingsinstellingen of database-acties.
Beheerders wordt aangeraden om altijd beveiligingsupdates zo snel mogelijk toe te passen.