Una falla de seguridad de alta severidad recientemente revelada que impacta a Ottokit (anteriormente Suretriggers) ha sido de explotación activa dentro de unas pocas horas posteriores a la divulgación pública.
La vulnerabilidad, rastreada como CVE-2025-3102 (Puntuación CVSS: 8.1), es un error de derivación de autorización que podría permitir que un atacante cree cuentas de administrador bajo ciertas condiciones y tome el control de sitios web susceptibles.
«El complemento de plataforma de automatización todo en uno: todo en uno para WordPress es vulnerable a un bypass de autenticación que conduce a la creación de cuentas administrativas debido a una verificación de valor vacío faltante en el valor ‘Secret_Key’ en la función ‘Auteticate_User’ en todas las versiones hasta, e incluyendo, 1.0.78», dijo Wordfence’s István Márton.
«Esto hace posible que los atacantes no autenticados creen cuentas de administrador en el sitio web de destino cuando el complemento está instalado y activado, pero no está configurado con una tecla API».
La explotación exitosa de la vulnerabilidad podría permitir que un atacante obtenga un control completo sobre un sitio de WordPress y aproveche el acceso no autorizado para cargar complementos arbitrarios, hacer modificaciones maliciosas para servir malware o spam, e incluso redirigir a los visitantes del sitio a otros sitios web de Sketchy.
El investigador de seguridad Michael Mazzolini (también conocido como Mikemyers) ha sido acreditado por descubrir e informar la falla el 13 de marzo de 2025. El problema se ha abordado en la versión 1.0.79 del complemento lanzado el 3 de abril de 2025.
Ottokit ofrece la capacidad de los usuarios de WordPress para conectar diferentes aplicaciones y complementos a través de flujos de trabajo que se pueden usar para automatizar tareas repetitivas.
Si bien el complemento tiene más de 100,000 instalaciones activas, es observar que solo un subconjunto de los sitios web es realmente explotable debido al hecho de que depende del complemento para estar en un estado no configurado a pesar de ser instalado y activado.
Dicho esto, los atacantes ya han subido al tren de explotación, intentando capitalizar rápidamente la divulgación para crear cuentas de administrador falsas con el nombre «XTW1838783BC», por Patchstack.
«Dado que es aleatorizado, es muy probable que asuma que el nombre de usuario, la contraseña y el alias de correo electrónico serán diferentes para cada intento de explotación», dijo la compañía de seguridad de WordPress.
Los intentos de ataque se han originado en dos direcciones IP diferentes:
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
A la luz de la explotación activa, se recomienda a los propietarios de sitios de WordPress que confíen en el complemento que apliquen las actualizaciones lo antes posible para una protección óptima, verifique las cuentas de administración sospechosas y las elimine.