Una seconda vulnerabilità di sicurezza che interessa il plugin WordPress OttoKit (precedentemente noto come SureTriggers) è stata sfruttata attivamente in natura. La vulnerabilità, identificata come CVE-2025-27007 (punteggio CVSS: 9.8), è un bug di escalation dei privilegi che colpisce tutte le versioni del plugin fino alla versione 1.0.82 inclusa.
Dettagli della vulnerabilità
Secondo Wordfence, il problema è causato dalla funzione create_wp_connection() che manca di un controllo delle capacità e verifica in modo insufficiente le credenziali di autenticazione dell’utente. Questo permette agli attaccanti non autenticati di stabilire una connessione, rendendo possibile l’escalation dei privilegi.
Scenari di sfruttamento
La vulnerabilità è sfruttabile solo in due scenari possibili:
- Quando un sito non ha mai abilitato o utilizzato una password applicativa, e OttoKit non è mai stato connesso al sito utilizzando una password applicativa.
- Quando un attaccante ha accesso autenticato a un sito e può generare una password applicativa valida.
Attacchi osservati
Wordfence ha rivelato di aver osservato attori malevoli tentare di sfruttare la vulnerabilità di connessione iniziale per stabilire una connessione con il sito, seguita dalla creazione di un account utente amministrativo tramite l’endpoint di automazione/azione.
Altre vulnerabilità
Gli attacchi mirano contemporaneamente anche a CVE-2025-3102 (punteggio CVSS: 8.1), un altro difetto nello stesso plugin che è stato sfruttato in natura dal mese scorso. Questo ha sollevato la possibilità che gli attori malevoli stiano scansionando opportunisticamente le installazioni di WordPress per verificare se sono vulnerabili a uno dei due difetti.
Indirizzi IP coinvolti
Gli indirizzi IP osservati che stanno prendendo di mira le vulnerabilità sono i seguenti:
- 2a0b:4141:820:1f4::2
- 41.216.188.205
- 144.91.119.115
- 194.87.29.57
- 196.251.69.118
- 107.189.29.12
- 205.185.123.102
- 198.98.51.24
- 198.98.52.226
- 199.195.248.147
Importanza degli aggiornamenti
Considerando che il plugin ha oltre 100.000 installazioni attive, è essenziale che gli utenti applichino rapidamente le ultime patch (versione 1.0.83). Wordfence ha dichiarato che gli attaccanti potrebbero aver iniziato a prendere di mira attivamente questa vulnerabilità già dal 2 maggio 2025, con un’escalation di massa a partire dal 4 maggio 2025.
Fonte: The Hackers News
