Una segunda falla de seguridad que impacta al ottokit (anteriormente Suretriggers) El complemento de WordPress ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-27007 (puntaje CVSS: 9.8), es un error de escalada de privilegios que impacta todas las versiones del complemento antes e incluye la versión 1.0.82.
«Esto se debe a la función create_wp_connection () que falta una verificación de capacidad y verificando insuficientemente las credenciales de autenticación de un usuario», dijo Wordfence. «Esto hace posible que los atacantes no autenticados establezcan una conexión, que en última instancia puede hacer posible la escalada de privilegios».
Dicho esto, la vulnerabilidad es explotable solo en dos escenarios posibles –
- Cuando un sitio nunca ha habilitado o utilizado una contraseña de aplicación, y Ottokit nunca se ha conectado al sitio web utilizando una contraseña de aplicación antes
- Cuando un atacante ha autenticado el acceso a un sitio y puede generar una contraseña de aplicación válida
Wordfence reveló que observó a los actores de amenaza que intentaban explotar la vulnerabilidad de conexión inicial para establecer una conexión con el sitio, seguido de usarlo para crear una cuenta de usuario administrativo a través del punto final de automatización/acción.
Además, los intentos de ataque apuntan simultáneamente a CVE-2025-3102 (puntaje CVSS: 8.1), otro defecto en el mismo complemento que también ha sido explotado en la naturaleza desde el mes pasado.
Esto ha planteado la posibilidad de que los actores de amenaza escanean de manera oportunista las instalaciones de WordPress para ver si son susceptibles a cualquiera de los dos defectos. Las direcciones IP que se han observado dirigidas a las vulnerabilidades se enumeran a continuación –
- 2a0b: 4141: 820: 1f4 :: 2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
Dado que el complemento tiene más de 100,000 instalaciones activas, es esencial que los usuarios se muevan rápidamente para aplicar los últimos parches (versión 1.0.83).
«Los atacantes pueden haber comenzado a apuntar activamente a esta vulnerabilidad tan pronto como el 2 de mayo de 2025 con una explotación de masa a partir del 4 de mayo de 2025», dijo Wordfence.