Falha Crítica no Plugin OttoKit para WordPress Ameaça Mais de 100 Mil Sites com Contas de Administrador fraudulentas

Alerta de Segurança: Plugin OttoKit para WordPress e a Urgência da Atualização

Uma vulnerabilidade crítica de segurança foi identificada no popular plugin para WordPress, OttoKit (anteriormente conhecido como SureTriggers), colocando mais de 100.000 sites em risco. A falha, agora ativamente explorada por cibercriminosos, permite a escalada de privilégios não autenticada, possibilitando a criação de contas de administrador fraudulentas e, consequentemente, o controle total dos sites afetados.

Entendendo a Ameaça do OttoKit

O OttoKit é uma plataforma de automação que, através de um plugin, conecta o WordPress a diversas ferramentas e aplicativos, como WooCommerce, Mailchimp e Google Sheets. Sua função é automatizar tarefas sem a necessidade de programação, otimizando processos para proprietários de sites, agências, pequenas empresas, startups, equipes de RH, gerentes de mídia social e firmas de contabilidade. O plugin atua como uma ponte entre o site WordPress e a plataforma em nuvem do OttoKit, onde o processamento das automações ocorre, mantendo o site leve e rápido.

A vulnerabilidade mais recente e crítica, rastreada como CVE-2025-27007, possui uma pontuação CVSS de 9.8, indicando severidade máxima. Ela reside na função `create_wp_connection()` do plugin, que falha em verificar adequadamente as capacidades e credenciais de autenticação do usuário. Isso abre uma brecha para que atacantes não autenticados estabeleçam uma conexão e escalem seus privilégios.

É importante notar que esta é a segunda falha grave descoberta no OttoKit recentemente. A primeira, CVE-2025-3102 (pontuação CVSS 8.1), permitia o bypass de autenticação se o plugin estivesse instalado e ativado, mas não configurado com uma chave API. Neste cenário, um invasor poderia enviar um cabeçalho `st_authorization` vazio para contornar o processo de autenticação e acessar endpoints protegidos da API REST, incluindo a criação de contas administrativas. Ambas as falhas estão sendo exploradas ativamente.

Como a Exploração do OttoKit Ocorre e Quem Está em Risco

Os hackers estão explorando ativamente a falha CVE-2025-27007 para criar contas de administrador nos sites WordPress vulneráveis. A exploração em massa desta vulnerabilidade parece ter começado por volta de 2 a 4 de maio de 2025. Os invasores tentam primeiro explorar a vulnerabilidade de conexão inicial e, em seguida, usam essa conexão para criar uma conta de usuário administrativa através do endpoint `automation/action`.

A exploração da CVE-2025-27007 é particularmente viável em dois cenários:

Quando um site nunca habilitou ou utilizou uma senha de aplicativo, e o OttoKit nunca foi conectado ao site usando uma senha de aplicativo anteriormente.
Quando um invasor já possui acesso autenticado a um site e pode gerar uma senha de aplicativo válida.

No caso da CVE-2025-3102, a exploração é possível se o plugin não estiver configurado corretamente com uma chave API. As tentativas de ataque para esta falha foram registradas poucas horas após sua divulgação pública. Os invasores criam contas de administrador com nomes de usuário, senhas e emails aleatórios, sugerindo tentativas automatizadas.

Com acesso administrativo, um invasor pode:

Instalar plugins ou temas maliciosos com backdoors.
Modificar o conteúdo de páginas e posts.
Redirecionar visitantes para sites perigosos ou inserir conteúdo de spam.

Ações Imediatas e Recomendações de Segurança para Usuários do OttoKit

Dada a criticidade das vulnerabilidades e a exploração ativa, é crucial que os usuários do plugin OttoKit tomem medidas imediatas:

Atualizar Imediatamente: Atualize o plugin OttoKit para a versão 1.0.83 ou superior. Esta versão contém os patches necessários para corrigir as falhas conhecidas. A versão 1.0.79 já corrigia a falha CVE-2025-3102.
Verificar Configuração: Certifique-se de que o plugin OttoKit está corretamente configurado com uma chave API.
Revisar Contas de Administrador: Verifique se há usuários administrativos não reconhecidos no painel do WordPress.
Monitorar Atividades Suspeitas: Caso encontre algo suspeito, considere revogar acessos, limpar arquivos maliciosos e restaurar backups.

A rápida exploração dessas vulnerabilidades ressalta a importância de aplicar atualizações de segurança assim que disponibilizadas. Empresas de segurança como Wordfence e Patchstack têm monitorado ativamente essas ameaças e forneceram informações cruciais para a comunidade WordPress. O pesquisador 'mikemyers' foi creditado pela descoberta da falha CVE-2025-3102 e recebeu uma recompensa por isso.

Manter o software atualizado e seguir as melhores práticas de segurança são passos fundamentais para proteger seu site WordPress contra ameaças cibernéticas cada vez mais sofisticadas.

Falha Crítica no Plugin OttoKit para WordPress Ameaça Mais de 100 Mil Sites com Contas de Administrador fraudulentas

Alerta de Segurança: Plugin OttoKit para WordPress e a Urgência da Atualização

Entendendo a Ameaça do OttoKit

Como a Exploração do OttoKit Ocorre e Quem Está em Risco

Ações Imediatas e Recomendações de Segurança para Usuários do OttoKit

Mizael Xavier

Compartilhar:

Posts relacionados

Alerta: Múltiplas Vulnerabilidades Críticas em Produtos SonicWall Exigem Atenção Imediata

Ex-Funcionário da Computacenter Denuncia Suposta Fraude Milionária Envolvendo o Deutsche Bank

O Estado do Ransomware em 2025: Ameaças Emergentes e Estratégias de Defesa