Uma segunda falha de segurança impactando o plugin OttoKit (anteriormente conhecido como SureTriggers) para WordPress está sendo ativamente explorada.
A vulnerabilidade, identificada como
CVE-2025-27007
(pontuação CVSS: 9.8), é um bug de escalonamento de privilégios que afeta todas as versões do plugin até e incluindo a versão 1.0.82.
"Isso ocorre devido à função create_wp_connection() não realizar uma verificação de capacidade adequada e verificar de forma insuficiente as credenciais de autenticação de um usuário," disse Wordfence.
Isso torna possível para atacantes não autenticados estabelecerem uma conexão, o que, em última instância, pode facilitar o escalonamento de privilégios.
Dito isso, a vulnerabilidade é explorável apenas em dois cenários possíveis:
-Quando um site nunca ativou ou usou uma senha de aplicativo, e o OttoKit nunca foi conectado ao site usando uma senha de aplicativo antes;
-Quando um atacante tem acesso autenticado a um site e pode gerar uma senha de aplicativo válida
Wordfence revelou que observou os atores de ameaças tentando explorar a vulnerabilidade de conexão inicial para estabelecer uma conexão com o site, seguido pelo uso dela para criar uma conta de usuário administrativa por meio do endpoint de automação/ação.
Além disso, as tentativas de ataque visam simultaneamente o
CVE-2025-3102
(pontuação CVSS: 8.1), outra falha no mesmo plugin que também vem sendo explorada ativamente desde o mês passado.
Isso levantou a possibilidade de que os atores de ameaças estejam escaneando oportunisticamente instalações do WordPress para verificar se são suscetíveis a qualquer uma das duas falhas.
Os endereços IP que foram observados visando as vulnerabilidades estão listados abaixo:
2a0b:4141:820:1f4::2
41.216.188.205
144.91.119.115
194.87.29.57
196.251.69.118
107.189.29.12
205.185.123.102
198.98.51.24
198.98.52.226
199.195.248.147
Dado que o plugin tem mais de 100.000 instalações ativas, é essencial que os usuários se movam rapidamente para aplicar os patches mais recentes (versão 1.0.83).
"Os atacantes podem ter começado a mirar ativamente nesta vulnerabilidade tão cedo quanto 2 de maio de 2025 com uma exploração em massa começando em 4 de maio de 2025," disse Wordfence.
Atualização:
Patchstack, em um aviso independente, revelou que observou tentativas de exploração mirando a falha 91 minutos após a divulgação pública.
"A vulnerabilidade ocorreu devido a um erro de lógica no plugin, tratando incorretamente a resposta da função wp_authenticate_application_password do WordPress, além de uma verificação limitada dos tokens de acesso fornecidos pelo usuário," disse o pesquisador de segurança Chazz Wolcott.
"Devido ao comportamento dessa interação, essa vulnerabilidade poderia levar a um atacante obtendo controle total do site via API do plugin OttoKit, incluindo a capacidade de criar contas de usuário de nível Administrador adicionais, em qualquer site usando este plugin onde o administrador não definiu uma senha de aplicativo."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...