Un'importante vulnerabilità di sicurezza ad alta gravità che interessa il plugin OttoKit di WordPress è stata recentemente scoperta e sfruttata attivamente poche ore dopo la sua divulgazione pubblica. La vulnerabilità, identificata come CVE-2025-3102 con un punteggio CVSS di 8.1, è un difetto di bypass dell'autorizzazione che potrebbe consentire a un attaccante di creare account amministratori in determinate condizioni, prendendo così il controllo di siti web vulnerabili.

Dettagli sulla Vulnerabilità

Il plugin SureTriggers, ora noto come OttoKit, è vulnerabile a un bypass di autenticazione che porta alla creazione di account amministrativi a causa di un controllo di valore mancante sulla chiave segreta nella funzione "authenticate_user" in tutte le versioni fino alla 1.0.78. Questo difetto rende possibile per attaccanti non autenticati creare account amministrativi sul sito target quando il plugin è installato e attivato ma non configurato con una chiave API.

Sfruttando con successo questa vulnerabilità, un attaccante potrebbe ottenere il controllo completo su un sito WordPress e utilizzare l'accesso non autorizzato per caricare plugin arbitrari, apportare modifiche dannose per distribuire malware o spam e persino reindirizzare i visitatori del sito verso altri siti sospetti.

Scoperta e Risoluzione

Il ricercatore di sicurezza Michael Mazzolini è stato accreditato per la scoperta e la segnalazione del difetto il 13 marzo 2025. Il problema è stato risolto nella versione 1.0.79 del plugin, rilasciata il 3 aprile 2025. OttoKit offre agli utenti di WordPress la possibilità di connettere diverse app e plugin attraverso flussi di lavoro che possono essere utilizzati per automatizzare attività ripetitive.

Implicazioni e Misure di Sicurezza

Sebbene il plugin conti oltre 100.000 installazioni attive, è importante notare che solo una parte dei siti web è effettivamente sfruttabile, poiché dipende dallo stato non configurato del plugin nonostante sia installato e attivato. Tuttavia, gli attaccanti si sono già attivati per sfruttare la vulnerabilità, tentando di creare account amministrativi falsi con nomi casuali, come "xtw1838783bc", secondo Patchstack. È probabile che il nome utente, la password e l'alias email cambieranno per ogni tentativo di sfruttamento.

Gli attacchi sono stati originati da due diversi indirizzi IP: 2a01:e5c0:3167::2 (IPv6) e 89.169.15.201 (IPv4). In vista dello sfruttamento attivo, si consiglia ai proprietari di siti WordPress che si affidano al plugin di applicare gli aggiornamenti il prima possibile per una protezione ottimale, controllare la presenza di account amministrativi sospetti e rimuoverli.