Los piratas informáticos comenzaron a explotar una vulnerabilidad de derivación de autenticación de alta severidad en el complemento Ottokit WordPress solo horas después de su divulgación pública, lo que representa un riesgo significativo para los usuarios.
El complemento Ottokit WordPress, anteriormente conocido como Suretriggers, permite a los usuarios conectar varios complementos y herramientas externas como WooCommerce, MailChimp y Google Sheets para automatizar tareas sin código. Con el complemento activo en 100,000 sitios web, la vulnerabilidad identificada como CVE-2025-3102 impacta todas las versiones de hasta 1.0.78.
La falla se deriva de una verificación de valor vacío faltante en el authenticate_user() función, que maneja la autenticación API REST. Si el complemento no está configurado con una tecla API, el almacenado secret_key permanece vacío, permitiendo la explotación. Un atacante puede explotar esta vulnerabilidad enviando un vacío st_authorization encabezado, evitando así la autenticación y obteniendo acceso no autorizado a los puntos finales de API protegidos.
Esencialmente, CVE-2025-3102 permite a los atacantes crear nuevas cuentas de administrador sin autenticación, lo que puede conducir a la adquisición completa del sitio. La vulnerabilidad fue reportada a Wordfence por el investigador de seguridad ‘Mikemyers’ a mediados de marzo, quien recibió una recompensa de $ 1,024 para el descubrimiento.
El proveedor de complementos fue notificado el 3 de abril y lanzó una solución en la versión 1.0.79 el mismo día. Sin embargo, los intentos de explotación comenzaron solo unas horas después de la divulgación pública de la vulnerabilidad. Los investigadores de PatchStack informaron que el primer intento de explotación se registró solo cuatro horas después de que se agregó la vulnerabilidad a su base de datos.
Los atacantes intentan crear nuevas cuentas de administrador con combinaciones aleatorizadas de nombre de usuario, contraseña y direcciones de correo electrónico, lo que indica ataques automatizados. Se recomienda encarecidamente a los usuarios del complemento Ottokit/Suretriggers que actualicen a la versión 1.0.79 de inmediato y verifiquen los registros para actividades sospechosas, como nuevas cuentas de administración, instalación de complementos o temas, eventos de acceso a la base de datos y modificación de la configuración de seguridad.
Source: WordPress Ottokit Plugin pirateado después de la divulgación de derivación de la autenticación
