Hackers começaram a explorar uma falha de alta gravidade que permite a burla de autenticação no plugin OttoKit (anteriormente SureTriggers) para WordPress, apenas algumas horas após sua divulgação pública.
É altamente recomendado aos usuários que atualizem para a versão mais recente do OttoKit/SureTriggers, atualmente 1.0.79, lançada no início do mês.
O plugin OttoKit para WordPress permite que os usuários conectem plugins e ferramentas externas como WooCommerce, Mailchimp e Google Sheets, automatizem tarefas como enviar e-mails e adicionar usuários ou atualizar CRMs sem código.
Estatísticas mostram que o produto está ativo em 100.000 websites.
Ontem, a Wordfence divulgou uma vulnerabilidade de burla de autenticação no OttoKit, identificada como
CVE-2025-3102
.
A falha impacta todas as versões do SureTriggers/OttoKit até 1.0.78.
A falha ocorre devido à falta de uma verificação de valor vazio na função authenticate_user(), que lida com a autenticação da REST API.
A exploração se torna possível se o plugin não for configurado com uma API key, o que faz com que a secret_key armazenada permaneça vazia.
Um atacante poderia explorar isso enviando um cabeçalho st_authorization vazio para passar pela verificação e conceder acesso não autorizado a endpoints da API protegidos.
Essencialmente, o
CVE-2025-3102
permite que atacantes criem novas contas de administrador sem autenticação, representando um alto risco de tomada total do site.
A Wordfence recebeu um relatório sobre a falha do pesquisador de segurança 'mikemyers', que ganhou uma recompensa de $1.024 pela descoberta em meados de março.
O fornecedor do plugin foi contatado em 3 de abril com os detalhes completos da exploração, e eles lançaram uma correção através da versão 1.0.79 no mesmo dia.
Entretanto, hackers rapidamente aproveitaram a oportunidade para explorar o problema, tirando vantagem do atraso dos administradores em atualizar o plugin para resolver o problema de segurança.
Pesquisadores na plataforma de segurança WordPress Patchstack estão alertando que as primeiras tentativas de exploração no mundo real foram registradas apenas algumas horas após a divulgação da falha.
“Os atacantes foram rápidos em explorar essa vulnerabilidade, com a primeira tentativa registrada ocorrendo apenas quatro horas após ela ter sido adicionada como um vPatch em nossa base de dados,” relata a Patchstack.
“Esta exploração rápida destaca a necessidade crítica de aplicar patches ou mitigações imediatamente após a divulgação pública de tais vulnerabilidades,” dizem os pesquisadores.
Os atores de ameaça tentam criar novas contas de administrador usando combinações de nome de usuário/senha e endereço de e-mail aleatórios, um sinal de automação de tarefa.
Se você está usando o OttoKit/SureTriggers, atualize para a versão 1.0.79 o mais rápido possível e verifique os registros para contas de admin inesperadas ou outros papéis de usuário, instalação de plugins/temas, eventos de acesso ao banco de dados e modificação das configurações de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...