Uma falha crítica no plugin OttoKit, anteriormente conhecido como SureTriggers, está sendo explorada ativamente para assumir o controle de sites WordPress. A vulnerabilidade, identificada como CVE-2025-27007 e com pontuação CVSS de 9,8, permite que invasores não autenticados elevem seus privilégios a administrador sem qualquer interação do usuário.
Leia também
Setor financeiro lidera ataques no Brasil em 2025
CEOs consideram cyber fundamental nos negócios
OttoKit é um plugin amplamente utilizado para automação entre sites, aplicativos e outros plugins WordPress. Com mais de 100 mil instalações ativas, a falha representa um risco significativo. O problema está na ausência de validação adequada das credenciais, o que possibilita que um atacante estabeleça conexão com o site e crie uma conta com privilégios de administrador.
Segundo o Wordfence, empresa especializada em segurança WordPress, há dois cenários principais para a exploração. O mais perigoso ocorre quando o plugin nunca usou uma senha de aplicativo para autenticação, o que permite o ataque sem necessidade de credenciais. Já nos casos em que o plugin foi previamente conectado via senha de aplicativo, a exploração não é possível por atacantes não autenticados.
Outra falha anterior no mesmo plugin, a CVE-2025-3102, também está sendo explorada em conjunto. Ambas foram corrigidas na versão 1.0.83 do plugin, publicada em 21 de abril. No entanto, os ataques começaram a ser observados em larga escala desde 2 de maio, com milhares de sites ainda desatualizados, segundo dados do WordPress.org.
Especialistas recomendam atualizar imediatamente para a versão mais recente e verificar se há usuários administrativos não reconhecidos no painel do WordPress.
