Uma vulnerabilidade grave recentemente identificada no plugin OttoKit, anteriormente conhecido como SureTriggers, está sendo explorada por cibercriminosos para obter controle total de sites WordPress comprometidos. A falha permite a criação de contas administrativas sem autenticação prévia, afetando diretamente mais de 100 mil sites que utilizam o plugin para automação e integração com serviços externos.
A descoberta foi feita por Denver Jackson, pesquisador que notificou a empresa de cibersegurança Patchstack em 11 de abril de 2025. O problema está relacionado à função create_wp_connection, que apresenta um erro de lógica na verificação de autenticação. Se senhas de aplicativos não estiverem configuradas, a API do plugin pode ser explorada sem qualquer validação.
Registrada sob o código CVE-2025-27007, a falha foi rapidamente comunicada aos desenvolvedores, que lançaram uma correção na versão 1.0.83 do OttoKit, disponibilizada em 21 de abril de 2025. A maioria dos usuários foi orientada a atualizar seus sistemas até o dia 24.
Como a falha no OttoKit permite invasões em massa ao WordPress
Mesmo após a liberação do patch, os ataques começaram rapidamente. Segundo a Patchstack, em menos de duas horas após a publicação do relatório técnico, cibercriminosos já estavam tentando explorar ativamente a falha. Os invasores utilizam os endpoints da API REST do plugin para simular integrações legítimas, inserindo nomes de usuários administrativos adivinhados ou forçados, senhas aleatórias, e-mails falsos e chaves de acesso manipuladas.
Ao explorar com sucesso essa brecha, eles enviam comandos para os caminhos /wp-json/sure-triggers/v1/automation/action e sua variação com ?rest_route=, contendo o payload “type_event”: “create_user_if_not_exists”. Isso faz com que o sistema, em instalações vulneráveis, crie silenciosamente uma nova conta de administrador sem alertar os responsáveis pelo site.
A orientação dos especialistas da Patchstack é enfática: todos os administradores que utilizam OttoKit devem atualizar imediatamente o plugin e inspecionar seus registros de acesso em busca de tentativas suspeitas ou contas recém-criadas.
Além disso, essa já é a segunda vulnerabilidade grave explorada no OttoKit em um curto período. A anterior, rastreada como CVE-2025-3102, também possibilitava a criação não autorizada de contas administrativas e começou a ser explorada no mesmo dia em que foi divulgada publicamente.
Essa sequência de falhas ressalta a importância de manter os plugins WordPress atualizados, revisar as permissões de API com frequência e adotar práticas de segurança contínua para evitar comprometimentos em massa.