Uma vulnerabilidade grave recentemente identificada no plugin OttoKit, anteriormente conhecido como SureTriggers, está sendo explorada por cibercriminosos para obter controle total de sites WordPress comprometidos. A falha permite a criação de contas administrativas sem autenticação prévia, afetando diretamente mais de 100 mil sites que utilizam o plugin para automação e integração com serviços externos.
A descoberta foi feita por Denver Jackson, pesquisador que notificou a empresa de cibersegurança Patchstack em 11 de abril de 2025. O problema está relacionado à função create_wp_connection, que apresenta um erro de lógica na verificação de autenticação. Se senhas de aplicativos não estiverem configuradas, a API do plugin pode ser explorada sem qualquer validação.
Registrada sob o código CVE-2025-27007, a falha foi rapidamente comunicada aos desenvolvedores, que lançaram uma correção na versão 1.0.83 do OttoKit, disponibilizada em 21 de abril de 2025. A maioria dos usuários foi orientada a atualizar seus sistemas até o dia 24.
Como a falha no OttoKit permite invasões em massa ao WordPress
Mesmo após a liberação do patch, os ataques começaram rapidamente. Segundo a Patchstack, em menos de duas horas após a publicação do relatório técnico, cibercriminosos já estavam tentando explorar ativamente a falha. Os invasores utilizam os endpoints da API REST do plugin para simular integrações legítimas, inserindo nomes de usuários administrativos adivinhados ou forçados, senhas aleatórias, e-mails falsos e chaves de acesso manipuladas.
Notícias Relacionadas
Alerta crítico
Atualização urgente: falhas críticas em VPN SonicWall colocam empresas em risco
A SonicWall emitiu um alerta para administradores de rede sobre três falhas de segurança críticas que atingem os dispositivos da linha Secure Mobile Access (SMA). Segundo a empresa, uma dessas vulnerabilidades já está sendo usada por cibercriminosos em ataques direcionados. As falhas, catalogadas como CVE-2025-32819, CVE-2025-32820 e CVE-2025-32821, foram descobertas pelo pesquisador Ryan Emmons, da […]
Cibersegurança crítica
SysAid corrige brechas graves que permitiam ataques remotos antes do login
Uma nova série de vulnerabilidades descobertas no software SysAid, amplamente utilizado para gerenciamento de serviços de TI (ITSM), acendeu um alerta no setor de cibersegurança. As falhas afetam diretamente a versão local da plataforma e possibilitam a execução remota de código (RCE) mesmo antes da autenticação do usuário — um dos cenários mais críticos em […]
Ao explorar com sucesso essa brecha, eles enviam comandos para os caminhos /wp-json/sure-triggers/v1/automation/action e sua variação com ?rest_route=, contendo o payload “type_event”: “create_user_if_not_exists”. Isso faz com que o sistema, em instalações vulneráveis, crie silenciosamente uma nova conta de administrador sem alertar os responsáveis pelo site.
A orientação dos especialistas da Patchstack é enfática: todos os administradores que utilizam OttoKit devem atualizar imediatamente o plugin e inspecionar seus registros de acesso em busca de tentativas suspeitas ou contas recém-criadas.
Além disso, essa já é a segunda vulnerabilidade grave explorada no OttoKit em um curto período. A anterior, rastreada como CVE-2025-3102, também possibilitava a criação não autorizada de contas administrativas e começou a ser explorada no mesmo dia em que foi divulgada publicamente.
Essa sequência de falhas ressalta a importância de manter os plugins WordPress atualizados, revisar as permissões de API com frequência e adotar práticas de segurança contínua para evitar comprometimentos em massa.
