Una segunda descompostura de seguridad que impacta al ottokit (anteriormente Suretriggers) El complemento de WordPress ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-27007 (puntaje CVSS: 9.8), es un error de subida de privilegios que impacta todas las versiones del complemento antaño e incluye la traducción 1.0.82.
“Esto se debe a la función create_wp_connection () que desatiendo una comprobación de capacidad y verificando insuficientemente las credenciales de autenticación de un heredero”, dijo Wordfence. “Esto hace posible que los atacantes no autenticados establezcan una conexión, que en última instancia puede hacer posible la subida de privilegios”.
Dicho esto, la vulnerabilidad es explotable solo en dos escenarios posibles –
- Cuando un sitio nunca ha facultado o utilizado una contraseña de aplicación, y Ottokit nunca se ha conectado al sitio web utilizando una contraseña de aplicación antaño
- Cuando un atacante ha autenticado el paso a un sitio y puede crear una contraseña de aplicación válida
Wordfence reveló que observó a los actores de amenaza que intentaban explotar la vulnerabilidad de conexión original para establecer una conexión con el sitio, seguido de usarlo para crear una cuenta de heredero chupatintas a través del punto final de automatización/hecho.
Encima, los intentos de ataque apuntan simultáneamente a CVE-2025-3102 (puntaje CVSS: 8.1), otro defecto en el mismo complemento que incluso ha sido explotado en la naturaleza desde el mes pasado.
Esto ha planteado la posibilidad de que los actores de amenaza escanean de forma oportunista las instalaciones de WordPress para ver si son susceptibles a cualquiera de los dos defectos. Las direcciones IP que se han observado dirigidas a las vulnerabilidades se enumeran a continuación –
- 2a0b: 4141: 820: 1f4 :: 2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
Hexaedro que el complemento tiene más de 100,000 instalaciones activas, es esencial que los usuarios se muevan rápidamente para aplicar los últimos parches (traducción 1.0.83).
“Los atacantes pueden suceder comenzado a apuntar activamente a esta vulnerabilidad tan pronto como el 2 de mayo de 2025 con una explotación de masa a partir del 4 de mayo de 2025”, dijo Wordfence.
