Una vulnerabilidad detectada en el plugin OttoKit para WordPress ha encendido las alertas en la comunidad de ciberseguridad. La falla permite a atacantes remotos crear cuentas de administrador sin autenticación, comprometiendo completamente la integridad de los sitios afectados.
Vulnerabilidad crítica en OttoKit
Recientemente se identificó una vulnerabilidad severa en el plugin OttoKit (anteriormente conocido como SureTriggers) para WordPress, el cual cuenta con más de 100,000 instalaciones activas. Esta falla permite a actores maliciosos crear cuentas de administrador sin necesidad de autenticarse, lo que abre la puerta al control total del sitio comprometido.
La vulnerabilidad afecta a todas las versiones del plugin hasta la 1.0.78 y fue asignada con el identificador CVE-2025-3102, obteniendo una puntuación de gravedad 8.1 según el sistema CVSS. Lo más alarmante es que la explotación ya se encuentra activa, por lo que el riesgo es inmediato y real para los sitios que aún no han aplicado las actualizaciones necesarias.
¿Cómo funciona el exploit?
El problema radica en una omisión en la función authenticate_user, específicamente en la verificación del parámetro secret_key. Cuando el plugin está instalado y activado, pero no ha sido correctamente configurado con una clave API válida, esta función puede ser utilizada por atacantes para registrarse como usuarios con privilegios de administrador sin necesidad de pasar por un proceso de autenticación legítimo.
Pocas horas después de hacerse pública la vulnerabilidad, se comenzó a detectar actividad maliciosa orientada a su explotación. Los registros muestran la creación de cuentas con nombres aleatorios (por ejemplo, “xtw1838783bc”) desde direcciones IP sospechosas, lo que confirma que se está utilizando esta falla en campañas activas.
¿Quiénes están en riesgo?
No todos los sitios que utilizan OttoKit están expuestos, pero aquellos que cumplen con las siguientes condiciones sí están en alto riesgo:
- El plugin está instalado y activado.
- No se ha configurado una clave API en el plugin.
- No se ha actualizado a la versión 1.0.79 o posterior.
Esto significa que, aunque la base instalada es amplia, el número real de sitios vulnerables depende del estado de configuración y mantenimiento de cada uno.
Recomendaciones para mitigar
- Actualización inmediata del plugin: Es fundamental actualizar OttoKit a la versión 1.0.79 o superior, la cual contiene el parche que corrige la vulnerabilidad crítica. Esta acción debe ser prioritaria, ya que la falla está siendo explotada activamente y puede comprometer la integridad del sitio web.
- Revisión de cuentas administrativas: Se recomienda verificar cuidadosamente el listado de usuarios con privilegios administrativos. Si se detectan cuentas creadas recientemente con nombres aleatorios o que no fueron autorizadas, deben ser eliminadas de inmediato
- Configuración adecuada del plugin: Asegúrese de que OttoKit esté correctamente configurado con una clave API válida. La falta de configuración es uno de los factores principales que permite la ejecución del exploit, incluso si el plugin se encuentra actualizado.
- Copias de seguridad frecuentes: Realice respaldos completos del sitio antes de aplicar cualquier cambio. Además, establezca una política de respaldo periódico que asegure la disponibilidad de versiones anteriores del sitio en caso de compromiso o pérdida de datos.
- Mantenimiento continuo de seguridad: Mantenga una política activa de actualización no solo del plugin OttoKit, sino de todos los componentes de WordPress: núcleo, temas y demás plugins. Esto reduce significativamente el riesgo de exposición a futuras vulnerabilidades.
