Un fallo grave de seguridad en el popular plugin de WordPress OttoKit (antes conocido como SureTriggers) ha sido aprovechado por ciberdelincuentes, dejando a más de 100.000 sitios web expuestos.
Este complemento está diseñado para automatizar flujos de trabajo en WordPress. Su función principal es conectar diferentes plugins, servicios y aplicaciones sin necesidad de programar, permitiendo que ciertas acciones se disparen automáticamente en respuesta a eventos concretos.
Entre sus utilidades más comunes están enviar e-mails automáticos cuando alguien se registra en el sitio, crear tareas en herramientas externas como Trello o Slack tras una compra o suscripción, integrarse con plataformas de e-learning, e-commerce o marketing para simplicar procesos repetitivos o automatizar acciones entre herramientas como Mailchimp, WooCommerce, etc.
Expertos en ciberseguridad de Wordfence han detectado que se está explotando activamente una vulnerabilidad crítica en OttoKit, catalogada como CVE-2025-27007. Esta afecta a todas las versiones del plugin anteriores a la 1.0.83.
La falla, con una puntuación CVSS de 9.8 sobre 10, permite a los atacantes obtener privilegios de administrador incluso sin estar autenticados, lo que podría darles el control total del sitio.
"Esto se debe a que a la función create_wp_connection() le falta una verificación de capacidad y no verifica suficientemente las credenciales de autenticación de un usuario", señalan desde Wordfence. "Esto hace posible que los atacantes no autenticados establezcan una conexión, lo que en última instancia puede hacer posible la escalada de privilegios".
La falla solo se puede explotar en dos escenarios posibles. El primero se daría cuando un sitio nunca ha habilitado o usado una contraseña de aplicación y OttoKit no se ha conectado antes al sitio web con una contraseña de aplicación. El segundo caso es cuando el atacante ha autenticado el acceso a un sitio y puede generar una contraseña de aplicación válida.
Los actores de amenazas estarían utilizando este fallo para establecer una conexión con el sitio web y, a través de la API del plugin, crear nuevas cuentas de usuario con privilegios de administrador.
Ante esta situación, se recomienda aplicar sin demora la actualización a la versión 1.0.83 del plugin OttoKit, ya que las versiones anteriores permanecen expuestas a un riesgo elevado de intrusión y secuestro del sitio.
Además, se está explotando de forma simultánea otra vulnerabilidad del mismo plugin: CVE-2025-3102, con una puntuación CVSS de 8.1.
¿Cuándo comenzaron los ataques?
Según Wordfence, los primeros ataques podrían haberse iniciado el 2 de mayo de 2025 y la explotación masiva habría comenzado apenas dos días después.
Por su parte, la empresa Patchstack ha confirmado que solo 91 minutos después de hacerse pública la vulnerabilidad, ya se estaban produciendo intentos de explotación.
Esto indica que, como viene siendo habitual, los atacantes siguen escaneando masivamente instalaciones de WordPress para encontrar cualquier puerta abierta que puedan aprovechar.