Un grupo de ciberdelincuentes comenzó a explotar una grave vulnerabilidad en el plugin de WordPress OttoKit (anteriormente llamado SureTriggers) tan solo horas después de que se hiciera pública la falla.
La brecha de seguridad permite eludir la autenticación y potencialmente, tomar el control total de los sitios web afectados.
OttoKit es un plugin muy utilizado en WordPress, con más de 100.000 sitios activos, que permite conectar herramientas como WooCommerce, Mailchimp y Google Sheets y automatizar tareas sin necesidad de programar.
La vulnerabilidad (identificada como CVE-2025-3102) afecta a todas las versiones hasta la 1.0.78. Fue descubierta por el investigador ‘mikemyers’ quien recibió una recompensa de $1.024 por su hallazgo.
El fallo se encuentra en la función authenticate_user() donde no se valida correctamente un valor vacío.
Si el plugin no está configurado con una clave API, el secret_key permanece vacío, lo que permite a un atacante pasar el chequeo de autenticación enviando un encabezado vacío (st_authorization).
Con esta maniobra, los atacantes pueden crear cuentas de administrador sin necesidad de autenticarse.
La empresa de ciberseguridad Patchstack informó que los primeros intentos de explotación fueron detectados solo 4 horas después de que el fallo se hiciera público:
“Los atacantes fueron rápidos en aprovechar esta vulnerabilidad, lo que resalta la necesidad crítica de aplicar parches inmediatamente tras la divulgación,” señalaron.
Los ciberdelincuentes utilizan scripts automatizados que crean cuentas de administrador con nombres de usuario, contraseñas y correos electrónicos aleatorios, facilitando el control total del sitio web comprometido.
Actualiza inmediatamente a la versión 1.0.79 que incluye la corrección del fallo.
Revisa tus registros para detectar cuentas de administrador sospechosas o acciones inusuales como instalación de nuevos plugins/temas, acceso a base de datos o cambios en la configuración de seguridad.
Este caso demuestra cuán rápidamente pueden actuar los hackers ante vulnerabilidades críticas.
Por lo que es absolutamente clave, a la rapidez con la que debes actualizar y proteger tus sistemas si deseas evitar compromisos serios en tu sitio WordPress.
Si eres un amante de los videojuegos, estás de suerte. Hasta el 20 de noviembre…
La computación cuántica acaba de dar un salto gigante. John M. Martinis, recién galardonado con…
La biografía más vendida del cofundador de Apple, Steve Jobs; escrita por uno de los…
Hubo un tiempo en el que la “seguridad en el hogar” significaba confiar en un…
Elon Musk vuelve a romper todos los esquemas. Los accionistas de Tesla acaban de aprobar…
Los fans de Grand Theft Auto tendrán que esperar un poco más para volver a…