Un fallo de bypass en un plugin de WordPress fue explotado casi de inmediato tras su divulgación.

Se ha detectado una vulnerabilidad en el plugin OttoKit de WordPress, la cual permite a actores maliciosos crear nuevas cuentas de administrador sin necesidad de autenticación. Este fallo, clasificado como CVE-2025-3102 y con un puntaje de severidad de 8.1 sobre 10, afecta todas las versiones del plugin hasta la 1.0.78, poniendo en riesgo a más de 100,000 sitios web que lo utilizan.

Los investigadores de seguridad informaron que, poco después de hacerse pública la vulnerabilidad, comenzaron a registrarse ataques. En menos de cuatro horas después de ser divulgada, se documentaron los primeros intentos de explotación. Esta rápida respuesta de los atacantes subraya la crucial necesidad de aplicar parches o mitigaciones inmediatamente tras la divulgación pública de tales vulnerabilidades.

La versión corregida del plugin es la 1.0.79, aunque actualmente está disponible la versión 1.0.80. Se recomienda a los usuarios actualizar a la versión más reciente sin demora, especialmente dado el abuso ya observado en el entorno. Además, se ha indicado que estos ataques podrían estar automatizados, lo cual podría comprometer rápidamente miles de sitios web.

OttoKit es una plataforma de automatización de flujos de trabajo que conecta aplicaciones, servicios y plugins de WordPress, permitiendo a los usuarios automatizar tareas repetitivas. Anteriormente conocido como SureTriggers, soporta la integración con más de 1,000 aplicaciones.

Es fundamental que los propietarios de sitios web de WordPress mantengan todos sus plugins y temas actualizados y desinstalen o desactiven aquellos que no estén utilizando.