WordPressで人気のプラグインの脆弱性が公開僅か90分でサイバー攻撃に悪用

WordPressで10万サイト以上に導入されている人気の自動化プラグイン「OttoKit（旧：SureTriggers）」において、認証不要の特権昇格脆弱性（CVE-2025-27007）が発見・修正されました。この脆弱性により、サイバー攻撃者が認証なしに管理者権限を取得し、不正アカウントを作成可能となる深刻な事態が生じています。

Patchstackによる報告では、脆弱性公開からわずか91分後に実際の攻撃が観測されており、既に実害が広がっている可能性があります。

脆弱性の概要と影響

OttoKit（旧称：SureTriggers）は、WordPress上で他サービスとの連携やタスクの自動化を実現するプラグインで、10万件以上のインストール実績があります。このプラグインには、WordPress REST APIを利用した接続機能（/wp-json/sure-triggers/v1/connection/create-wp-connection）が用意されています。

今回報告されたCVE-2025-27007は、このAPIに存在する認証処理のロジック不備が原因で発生します。

具体的には、wp_authenticate_application_password() 関数の戻り値処理に不備があり、アプリケーションパスワード未設定の環境では、本来拒否されるべき認証要求が成功してしまうケースが存在します。

加えて、API呼び出し時に提供される「access key」や「接続先メールアドレス」に関する検証が非常に限定的であったため、攻撃者が任意のデータでアクセスリクエストを偽装し、正規の接続と見なされる状況が生じていました。

このような条件が揃った環境では、攻撃者が管理者ユーザー名を把握していれば、ログイン不要で管理者権限のユーザーアカウントを新規作成できるため、実質的にサイトの乗っ取りが可能になる深刻な影響があります。

なお、この脆弱性はパッチ未適用のまま運用されていた場合、サイトの改ざん、情報漏洩、スパム送信、マルウェア設置などの被害が直ちに発生し得るリスクを伴います。

脆弱性の対象バージョンと対策バージョン

• 対象バージョン（脆弱性が存在するバージョン）
  　OttoKit（旧：SureTriggers）プラグイン
  　バージョン 1.0.82 およびそれ以前

• 対策バージョン（脆弱性が修正されたバージョン）
  　バージョン 1.0.83
  　2025年4月21日にリリースされ、脆弱性の修正が実装済みです。

攻撃の具体的手法と確認された兆候

攻撃者は以下のような手順で侵入を試みます

1. APIに対し、ユーザー名や適当なパスワード、任意のアクセストークン・メールアドレスなどを付けてリクエスト送信

2. 正常に処理されると、内部的に認証済みと誤認され、接続が確立される

3. 続けて /wp-json/sure-triggers/v1/automation/action に対し type_event: "create_user_if_not_exists" を含むペイロードを送信し、新規管理者アカウントを静かに作成

この手口により、サイト所有者が気づかぬうちに乗っ取られる可能性が生じます。

過去にも同様の深刻な脆弱性

OttoKitでは、2025年4月以降、複数の深刻な認証バイパス・脆弱性が連続して報告されています。

今回のCVE-2025-27007以前にも、CVE-2025-3102という特権昇格系のゼロデイが公開当日に悪用されており、攻撃者は自動化されたスクリプトで新アカウントを大量に作成していた形跡があります。

情報システム部門・Web管理者への推奨対応

1. OttoKitプラグインをバージョン1.0.83以上に更新

2. アプリケーションパスワードの未設定管理者アカウントの確認と無効化

3. 不審な新規アカウント作成履歴の確認

4. Webサーバのログから該当APIへのアクセスログを調査

5. 不要なREST APIエンドポイントの制限やWAFの適用