Una falla crítica de seguridad fue detectada en OttoKit, plugin antes conocido como SureTriggers, ampliamente utilizado para automatizar tareas e integrar servicios en sitios WordPress. Con más de 100.000 instalaciones activas, la vulnerabilidad permitía a atacantes no autenticados tomar control total del sitio si no se habían configurado contraseñas de aplicación. El problema fue corregido en la versión 1.0.83.
Identificada como CVE-2025-27007, la brecha se originaba en un error lógico vinculado al manejo de autenticaciones mediante la función wp_authenticate_application_password de WordPress. Este fallo, combinado con una validación insuficiente en la API del plugin, posibilitaba la creación de cuentas con privilegios de administrador.
El hallazgo fue reportado por Denver Jackson, investigador de la comunidad Patchstack Alliance, a través del programa de recompensas de errores de Patchstack. De acuerdo con la empresa, los intentos de explotación comenzaron tan solo 90 minutos después de hacerse pública la vulnerabilidad.
Ante este escenario, los expertos instan a los administradores de sitios WordPress que utilicen OttoKit para actualizar de inmediato a la versión 1.0.83 o superior, a fin de evitar posibles compromisos de seguridad.
Fuente
Ciberprisma - alianza por la ciberseguridad 