Cibercriminosos estão explorando uma falha crítica no plugin OttoKit para WordPress, que possui mais de 100 mil instalações ativas. A vulnerabilidade, identificada como CVE-2025-3102, permite que invasores criem contas de administrador e tomem controle total do site comprometido. O alerta foi emitido pela empresa de segurança Defiant.
Leia também
LLMs de código alucinam com bibliotecas e pacotes
Faturamento com GenAI vai a US$ 644 bi este ano
O problema ocorre devido à ausência de uma verificação de valor vazio na função que trata permissões. Se o plugin estiver ativado, mas sem configuração de chave de API, um invasor pode enviar uma requisição com chave vazia e ter acesso ao endpoint da API REST. A partir daí, é possível executar ações administrativas, como instalar temas ou plugins maliciosos e alterar páginas do site.
Segundo a Defiant, a falha tem severidade alta, com pontuação CVSS de 8,1, mas afeta apenas instalações novas e não configuradas do plugin. Ainda assim, a exploração já foi confirmada e há risco real de comprometimento em sites vulneráveis.
A vulnerabilidade foi comunicada ao desenvolvedor em 3 de abril, e uma atualização com a correção (versão 1.0.79) foi publicada no mesmo dia. Usuários do OttoKit devem atualizar o plugin imediatamente para mitigar o risco de invasão.
