El Plugin de WordPress OttoKit, con más de 100.000 Desscargas, Afectado por Exploits Dirigidos a Múltiples Fallos
por Ninhack
on mayo 8, 2025

¿Qué es OttoKit?

OttoKit es una plataforma de automatización todo en uno (antes SureTriggers).

OttoKit es una plataforma de automatización que automatiza procesos entre diferentes sitios web, aplicaciones y plugins de WordPress. Ayuda a crear potentes flujos de trabajo para conectar sus aplicaciones y automatizar tareas repetitivas. Puede hacer automáticamente múltiples tareas en diferentes apps.

CVE-2025-27007

La vulnerabilidad, rastreada como CVE-2025-27007 (puntuación CVSS: 9,8), es un error de escalada de privilegios que afecta a todas las versiones del plugin anteriores a la versión 1.0.82 inclusive.

La función create_wp_connection() carece de una comprobación de capacidad y no verifica suficientemente las credenciales de autenticación de un usuario.

Esto hace posible que atacantes no autenticados establezcan una conexión, haciendo posible la escalada de privilegios.

La vulnerabilidad sólo es explotable en 2 escenarios posibles:

  • Cuando un sitio nunca ha habilitado o utilizado una contraseña de aplicación, y OttoKit nunca se ha conectado al sitio web utilizando una contraseña de aplicación anteriormente.
  • Cuando un atacante ha autenticado el acceso a un sitio y puede generar una contraseña de aplicación válida.

Wordfence reveló que observó a los actores de la amenaza intentando explotar la vulnerabilidad de la conexión inicial para establecer una conexión con el sitio, seguida de su uso para crear una cuenta de usuario administrativa a través del endpoint de automation/action.

Además, los intentos de ataque apuntan simultáneamente a CVE-2025-3102 (puntuación CVSS: 8,1), otro fallo en el mismo plugin que también ha sido explotado in the wild desde el mes pasado.

Esto ha planteado la posibilidad de que los actores de la amenaza estén escaneando de forma oportunista las instalaciones de WordPress para ver si son susceptibles a alguno de los dos fallos. A continuación se enumeran las direcciones IP que se han observado atacando las vulnerabilidades:

  • 2a0b:4141:820:1f4::2
  • 41.216.188.205
  • 144.91.119.115
  • 194.87.29.57
  • 196.251.69.118
  • 107.189.29.12
  • 205.185.123.102
  • 198.98.51.24
  • 198.98.52.226
  • 199.195.248.147

Detección

Patchstack, en un aviso independiente, reveló que observó intentos de explotación dirigidos al fallo 91 minutos después de su divulgación pública.

CVE-2025-27007OttoKitPlugin WordPress
CiberseguridadNewsVulnerabilidades