Vulnerabilidad en OttoKit permite crear cuentas de administrador en Wordpress

Cibercriminales están explotando activamente una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin OttoKit de WordPress, lo que les permite crear cuentas de administrador fraudulentas en sitios web vulnerables. Esta brecha representa una amenaza importante para la seguridad de miles de sitios basados en WordPress.

¿Qué es OttoKit y por qué es importante?

OttoKit, anteriormente conocido como SureTriggers, es un popular complemento de automatización e integración para WordPress que permite conectar sitios web con servicios de terceros y automatizar flujos de trabajo. Actualmente está instalado en más de 100.000 sitios web.

Detalles de la vulnerabilidad CVE-2025-27007

El 11 de abril de 2025, el investigador Denver Jackson reportó a Patchstack una falla crítica en OttoKit, registrada como CVE-2025-27007. Esta vulnerabilidad reside en un error lógico dentro de la función create_wp_connection, que permite a los atacantes eludir la autenticación cuando las contraseñas de aplicaciones no están configuradas correctamente.

A través de esta falla, los atacantes pueden obtener acceso de nivel administrador mediante solicitudes a la API REST del plugin, explotando la validación incompleta en los parámetros de entrada.

Solución y actualización del plugin OttoKit

• 12 de abril de 2025: Patchstack informó al proveedor del complemento.
• 21 de abril de 2025: Se lanzó la versión 1.0.83 de OttoKit, que incluye una validación adicional de la clave de acceso en las solicitudes.
• 24 de abril de 2025: La mayoría de los usuarios fueron forzados a actualizar automáticamente a la versión segura.

Explotación activa tras la divulgación pública

Aunque el informe de Patchstack fue publicado el 5 de mayo de 2025, la explotación activa comenzó menos de dos horas después de la divulgación. Los atacantes dirigieron sus esfuerzos a los puntos finales de la API REST, simulando integraciones legítimas para crear nuevas cuentas de administrador.

Utilizando nombres de usuario adivinados o forzados, junto con contraseñas aleatorias, claves de acceso falsas y direcciones de correo electrónico inventadas, los atacantes aprovecharon la función create_wp_connection para ejecutar llamadas API adicionales, como:


Estas solicitudes incluían la carga útil "type_event": "create_user_if_not_exists", lo que generaba cuentas de administrador de forma silenciosa en instalaciones vulnerables.

Recomendaciones de seguridad para los administradores de WordPress
Patchstack recomienda tomar medidas inmediatas si estás utilizando el plugin OttoKit:

• Actualizar de inmediato a la versión 1.0.83 o superior.
• Revisar los registros del sitio en busca de actividad sospechosa.
• Verificar la lista de cuentas de usuario y roles asignados.
• Implementar medidas adicionales de seguridad, como autenticación multifactor (MFA) y deshabilitar el acceso innecesario a la API REST.

Otra vulnerabilidad crítica reciente en OttoKit: CVE-2025-3102

Esta no es la primera vez que OttoKit enfrenta una vulnerabilidad crítica. En abril de 2025 también se descubrió y explotó otra falla de omisión de autenticación, identificada como CVE-2025-3102. En esa ocasión, los actores de amenazas también intentaron crear cuentas de administrador automatizadas usando datos aleatorios, evidenciando un patrón continuo de ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta