Всего через 4 часа после публикации уязвимости в OttoKit (CVE-2025-3102) хакеры начали массово взламывать WordPress-сайты. Просто отправляешь пустой st_authorization, и REST API пускает как родного. Можно создать админа и захватить контроль.
Проблема — в версиях плагина до 1.0.79 включительно. Забыли проверить ключ авторизации на пустоту — и вот тебе проходной двор. Уже зафиксированы атаки с ботами, которые клепают учётки с рандомными логинами и мэйлами.
Плагин стоит на 100К+ сайтов. Если ты среди них — срочно обновляйся, проверяй логи, чисти мусор. Через такие баги теряют не только сайты, но и доверие.
Всего через 4 часа после публикации уязвимости в OttoKit (CVE-2025-3102) хакеры начали массово взламывать WordPress-сайты. Просто отправляешь пустой st_authorization, и REST API пускает как родного. Можно создать админа и захватить контроль.
Проблема — в версиях плагина до 1.0.79 включительно. Забыли проверить ключ авторизации на пустоту — и вот тебе проходной двор. Уже зафиксированы атаки с ботами, которые клепают учётки с рандомными логинами и мэйлами.
Плагин стоит на 100К+ сайтов. Если ты среди них — срочно обновляйся, проверяй логи, чисти мусор. Через такие баги теряют не только сайты, но и доверие.
Over 33,000 people sent out over 1,000 doxxing messages in the group. Although the administrators tried to delete all of the messages, the posting speed was far too much for them to keep up. Your posting frequency depends on the topic of your channel. If you have a news channel, it’s OK to publish new content every day (or even every hour). For other industries, stick with 2-3 large posts a week. “Hey degen, are you stressed? Just let it all out,” he wrote, along with a link to join the group. fire bomb molotov November 18 Dylan Hollingsworth yau ma tei Content is editable within two days of publishing
from us
