OttoKit sotto attacco: scoperta vulnerabilità critica nel plugin WordPress usato da oltre 100.000 siti
Redazione 
Un’allerta di sicurezza sta scuotendo la community di WordPress. Il plugin OttoKit, precedentemente noto come SureTriggers, è finito nel mirino degli esperti di cybersicurezza per la scoperta di due vulnerabilità gravi che potrebbero mettere a rischio oltre 100.000 installazioni attive.
La più recente, classificata come CVE-2025-27007, ha ottenuto un punteggio CVSS di 9.8 su 10, indicando un livello di criticità estremamente elevato. Il problema riguarda una gestione errata dei permessi che potrebbe consentire a un attaccante non autenticato di ottenere privilegi amministrativi, compresa la creazione di nuovi account admin sul sito.
OttoKit: un plugin diffuso per l’automazione, ora vulnerabile
OttoKit è uno dei plugin più popolari per l’automazione dei flussi di lavoro su WordPress. Permette agli utenti di collegare diverse applicazioni e strumenti tra loro, rendendo possibili automazioni simili a quelle offerte da servizi come Zapier o Make. Proprio per la sua diffusione e le funzioni avanzate, il plugin rappresenta un bersaglio ghiotto per i cybercriminali.
Secondo quanto riportato dal National Vulnerability Database (NVD) e da WPScan, la vulnerabilità CVE-2025-27007 colpisce tutte le versioni del plugin precedenti alla 1.0.83, rilasciata per correggere il problema. Gli sviluppatori consigliano agli utenti di aggiornare immediatamente il plugin tramite la dashboard di WordPress o scaricare la versione aggiornata dalla directory ufficiale dei plugin.
Due falle in un mese: anche CVE-2025-3102 ha messo a rischio i siti
Questa non è la prima falla di sicurezza rilevata nel plugin. Appena un mese fa era stata individuata un’altra vulnerabilità, identificata come CVE-2025-3102, con un CVSS di 8.1. Questa permetteva ai malintenzionati di bypassare l’autenticazione e ottenere accesso non autorizzato al sito WordPress. Il bug è stato risolto con la versione 1.0.79 del plugin.
I rischi concreti per i siti WordPress
L’escalation dei privilegi senza necessità di autenticazione rappresenta uno degli scenari più pericolosi nel campo della cybersicurezza. Un attacco riuscito potrebbe permettere a un hacker di:
- Accedere al pannello di amministrazione del sito
- Installare malware o backdoor
- Rubare dati sensibili degli utenti
- Compromettere l’integrità del sito, distruggendo contenuti o reindirizzando il traffico
Secondo Sucuri, una delle principali aziende al mondo specializzate in sicurezza per WordPress, il numero di attacchi mirati ai plugin vulnerabili è in costante crescita. I ricercatori invitano i webmaster a mantenere sempre aggiornati i plugin e a utilizzare strumenti di monitoraggio della sicurezza come Wordfence, Sucuri Firewall o iThemes Security.
Cosa fare subito:
Aggiorna OttoKit alla versione 1.0.83 o superiore
Controlla i log di accesso e gli utenti amministratori del tuo sito
Installa un plugin di sicurezza per monitorare attività sospette
Esegui un backup completo prima di ogni aggiornamento importante
