Una error de seguridad de inscripción severidad recientemente revelada que impacta a Ottokit (anteriormente Suretriggers) ha sido de explotación activa adentro de unas pocas horas posteriores a la divulgación pública.
La vulnerabilidad, rastreada como CVE-2025-3102 (Puntuación CVSS: 8.1), es un error de derivación de autorización que podría permitir que un atacante cree cuentas de administrador bajo ciertas condiciones y tome el control de sitios web susceptibles.
“El complemento de plataforma de automatización todo en uno: todo en uno para WordPress es débil a un bypass de autenticación que conduce a la creación de cuentas administrativas correcto a una comprobación de valencia infructifero faltante en el valencia ‘Secret_Key’ en la función ‘Auteticate_User’ en todas las versiones hasta, e incluyendo, 1.0.78”, dijo Wordfence’s István Márton.
“Esto hace posible que los atacantes no autenticados creen cuentas de administrador en el sitio web de destino cuando el complemento está instalado y activado, pero no está configurado con una tecla API”.
La explotación exitosa de la vulnerabilidad podría permitir que un atacante obtenga un control completo sobre un sitio de WordPress y aproveche el acercamiento no calificado para cargar complementos arbitrarios, hacer modificaciones maliciosas para servir malware o spam, e incluso redirigir a los visitantes del sitio a otros sitios web de Sketchy.
El investigador de seguridad Michael Mazzolini (además conocido como Mikemyers) ha sido acreditado por descubrir e informar la error el 13 de marzo de 2025. El problema se ha abordado en la interpretación 1.0.79 del complemento decidido el 3 de abril de 2025.
Ottokit ofrece la capacidad de los usuarios de WordPress para conectar diferentes aplicaciones y complementos a través de flujos de trabajo que se pueden usar para automatizar tareas repetitivas.
Si correctamente el complemento tiene más de 100,000 instalaciones activas, es observar que solo un subconjunto de los sitios web es efectivamente explotable correcto al hecho de que depende del complemento para estar en un estado no configurado a pesar de ser instalado y activado.
Dicho esto, los atacantes ya han subido al tren de explotación, intentando capitalizar rápidamente la divulgación para crear cuentas de administrador falsas con el nombre “XTW1838783BC”, por Patchstack.
“Transmitido que es aleatorizado, es muy probable que asuma que el nombre de usufructuario, la contraseña y el mote de correo electrónico serán diferentes para cada intento de explotación”, dijo la compañía de seguridad de WordPress.
Los intentos de ataque se han originado en dos direcciones IP diferentes:
- 2A01: E5C0: 3167 :: 2 (IPv6)
- 89.169.15.201 (IPv4)
A la luz de la explotación activa, se recomienda a los propietarios de sitios de WordPress que confíen en el complemento que apliquen las actualizaciones lo antiguamente posible para una protección óptima, verifique las cuentas de establecimiento sospechosas y las elimine.
