Alerta de Segurança: Plugin OttoKit para WordPress com Mais de 100 Mil Instalações Ativo em Exploits

Plugin OttoKit para WordPress em Risco

Uma nova vulnerabilidade de segurança crítica foi descoberta no plugin OttoKit (anteriormente conhecido como SureTriggers) para WordPress, que possui mais de 100.000 instalações ativas. A falha, identificada como CVE-2025-27007, permite a escalada de privilégios e está sendo ativamente explorada. Esta é a segunda falha grave encontrada no plugin recentemente, aumentando a urgência para que os usuários atualizem para a versão mais recente, 1.0.83, o mais rápido possível.

A empresa de segurança Wordfence relatou que invasores estão explorando essa vulnerabilidade para criar contas de administrador em sites vulneráveis. A exploração em massa parece ter começado por volta de 4 de maio de 2025, embora tentativas de ataque possam ter ocorrido desde 2 de maio de 2025.

Detalhes da Vulnerabilidade CVE-2025-27007 no OttoKit

A vulnerabilidade CVE-2025-27007, com uma pontuação CVSS de 9.8 (indicando criticidade severa), afeta todas as versões do OttoKit anteriores e incluindo a 1.0.82. Segundo a Wordfence, a falha reside na função `create_wp_connection()`, que não realiza uma verificação de capacidade adequada e valida de forma insuficiente as credenciais de autenticação do usuário. Isso possibilita que atacantes não autenticados estabeleçam uma conexão, o que pode levar à escalada de privilégios.

No entanto, a exploração dessa vulnerabilidade específica é possível em dois cenários principais:

• Quando um site nunca habilitou ou utilizou uma senha de aplicativo e o OttoKit nunca foi conectado ao site usando uma senha de aplicativo anteriormente.
• Quando um invasor já possui acesso autenticado a um site e pode gerar uma senha de aplicativo válida.

A Wordfence observou que os invasores tentam primeiro explorar a vulnerabilidade de conexão inicial para estabelecer uma ligação com o site e, em seguida, usam essa conexão para criar uma conta de usuário administrativa através do endpoint `automation/action`.

Exploração Conjunta com a Vulnerabilidade CVE-2025-3102 do OttoKit

É alarmante notar que os ataques também visam simultaneamente a CVE-2025-3102, outra falha no mesmo plugin OttoKit, que também tem sido explorada ativamente desde o mês passado. Essa tática sugere que os cibercriminosos estão varrendo instalações do WordPress de forma oportunista para verificar a suscetibilidade a qualquer uma das duas falhas. A CVE-2025-3102, com pontuação CVSS de 8.1, é uma falha de bypass de autenticação que pode permitir a criação de contas de administrador. A empresa de segurança Patchstack relatou que a exploração desta falha começou poucas horas após sua divulgação pública.

O Perigo do Cross-Site Scripting (XSS)

Embora o artigo original não detalhe especificamente se estas vulnerabilidades são do tipo Cross-Site Scripting (XSS), é crucial entender o que é XSS, pois é uma ameaça comum em plugins do WordPress. O XSS ocorre quando um invasor consegue injetar scripts maliciosos em páginas da web visualizadas por outros usuários. Esses scripts podem então roubar informações confidenciais, como cookies de sessão, ou redirecionar usuários para sites maliciosos. Existem principalmente três tipos de XSS: o XSS Refletido (onde o script é injetado através de um link ou formulário), o XSS Armazenado (onde o script malicioso fica permanentemente no servidor) e o XSS Baseado em DOM (onde a vulnerabilidade reside no código do lado do cliente que manipula o Document Object Model).

A Importância Crucial de Manter Plugins do WordPress Atualizados

Este incidente com o plugin OttoKit ressalta a importância crítica de manter todos os componentes do WordPress, incluindo o núcleo, temas e, especialmente, plugins, sempre atualizados. Plugins desatualizados são uma das principais portas de entrada para ataques cibernéticos em sites WordPress. As atualizações frequentemente contêm correções para vulnerabilidades de segurança que foram descobertas. Ignorar essas atualizações deixa seu site exposto a uma variedade de ameaças, incluindo a criação não autorizada de contas de administrador, injeção de malware, roubo de dados e redirecionamentos maliciosos. Além disso, plugins desatualizados podem causar problemas de compatibilidade com a versão mais recente do WordPress ou com outros plugins, levando a mau funcionamento do site.

Riscos Associados a Plugins Desatualizados

Os riscos de não atualizar os plugins do WordPress são significativos. Sites com plugins vulneráveis podem ser completamente comprometidos, resultando em perda de dados, danos à reputação e penalidades de mecanismos de busca como o Google, que podem rebaixar ou bloquear o acesso a sites considerados inseguros. Em alguns casos, provedores de hospedagem podem até suspender sites infectados para proteger outros sites no mesmo servidor. Portanto, a manutenção proativa e a aplicação imediata de patches de segurança são essenciais para a saúde e segurança de qualquer site WordPress.

É fundamental que os administradores de sites que utilizam o plugin OttoKit atualizem para a versão 1.0.83 imediatamente para se protegerem contra essas explorações ativas. Além disso, é uma boa prática revisar regularmente todos os plugins instalados, remover aqueles que não são mais necessários ou que não são mantidos ativamente por seus desenvolvedores, e implementar medidas de segurança adicionais, como firewalls de aplicativos da web (WAFs) e autenticação de múltiplos fatores.