(https://i.imgur.com/NV4GXFC.png)
Una grave falla de seguridad en OttoKit (anteriormente SureTriggers) ha sido explotada activamente pocas horas después de su divulgación pública. Esta vulnerabilidad, identificada como CVE-2025-3102 y con una puntuación CVSS de 8.1, permite a los atacantes crear cuentas de administrador en sitios WordPress vulnerables y tomar control total de ellos.
Detalles de la vulnerabilidad CVE-2025-3102El investigador István Márton de Wordfence explicó que el fallo se debe a un error de omisión de autenticación en el plugin SureTriggers: All-in-One Automation Platform para WordPress, presente en todas las versiones hasta la 1.0.78.
¿Cómo funciona el ataque?- La vulnerabilidad ocurre porque el complemento no verifica correctamente el valor "secret_key" en la función "authenticate_user".
- Si el plugin está instalado y activado, pero sin una clave API configurada, un atacante no autenticado puede explotar el fallo y crear cuentas de administrador.
- Con acceso de administrador, los atacantes pueden:
- Subir plugins maliciosos.
- Modificar el sitio para inyectar malware o spam.
- Redirigir visitantes a sitios fraudulentos.
Ataques en curso y direcciones IP involucradasEl investigador de seguridad Michael Mazzolini (alias mikemyers) descubrió y reportó la vulnerabilidad el 13 de marzo de 2025, y el problema fue corregido en la versión 1.0.79 del plugin, lanzada el 3 de abril de 2025.
Sin embargo, según Patchstack, los atacantes ya están explotando activamente la vulnerabilidad, creando cuentas de administrador falsas con el nombre "xtw1838783bc".
Los intentos de ataque se han originado desde las siguientes direcciones IP:
- 2a01:e5c0:3167::2 (IPv6)
- 89.169.15.201 (IPv4)
Dado que los nombres de usuario y contraseñas generados son aleatorios, se espera que los atacantes sigan variando sus estrategias para evitar detección.
¿Quiénes están en riesgo?Aunque OttoKit cuenta con más de 100,000 instalaciones activas, no todos los sitios son vulnerables. El ataque solo es posible si el complemento está instalado y activado pero no configurado con una clave API.
Cómo proteger tu sitio WordPressDado que la vulnerabilidad está siendo activamente explotada, se recomienda a los propietarios de sitios WordPress que utilicen este plugin que:
- Actualicen inmediatamente a la versión 1.0.79 de OttoKit.
- Verifiquen si hay cuentas de administrador sospechosas y eliminen cualquier cuenta no autorizada.
- Monitoreen su sitio en busca de actividades inusuales o cambios no autorizados.
- Bloqueen las direcciones IP maliciosas si es posible.
Fuente: https://thehackernews.com/