WordPress sotto attacco: nuova vulnerabilità critica nel plugin OttoKit mette a rischio migliaia di siti
Redazione 
Il plugin OttoKit – All-in-One Automation Platform (ex SureTriggers), utilizzato da oltre 100.000 installazioni WordPress, è finito nuovamente nel mirino degli hacker. Dopo un primo exploit rilevato ad aprile, un secondo bug critico sta ora consentendo agli aggressori di ottenere accesso amministrativo non autorizzato, compromettendo la sicurezza dei siti che utilizzano il plugin.
Nuovo allarme sicurezza: la vulnerabilità CVE-2025-27007
La società di sicurezza Defiant, che sviluppa il noto firewall Wordfence, ha identificato un nuovo zero-day classificato come CVE-2025-27007, con un punteggio di gravità CVSS pari a 9.8 (su 10). Il bug risiede nella funzione create_wp_connection() del plugin OttoKit, che non valida correttamente le credenziali degli utenti, permettendo di elevare i privilegi anche senza autenticazione.
In pratica, un utente malintenzionato può stabilire una connessione al sito vulnerabile e creare un account amministratore, tutto senza bisogno di conoscere nome utente o password, a patto che non sia mai stata configurata una password applicativa precedentemente.
Un attacco su due fronti: anche CVE-2025-3102 ancora attivo
Questo nuovo exploit arriva a meno di un mese di distanza dalla scoperta di un altro bug, CVE-2025-3102, sempre all’interno di OttoKit, sfruttato per generare account con privilegi elevati su siti WordPress appena installati o mal configurati. Defiant segnala che, nonostante la disponibilità della patch, gli attacchi verso questa vulnerabilità sono ancora in corso.
Come funziona l’exploit e chi è a rischio
L’attacco descritto si sviluppa in due fasi:
- Connessione iniziale non autenticata: sfruttando la funzione vulnerabile
create_wp_connection(), l’aggressore stabilisce un contatto con il sito. - Escalation dei privilegi: attraverso l’endpoint
/automation/action, crea un account amministratore e ottiene pieno controllo del sito.
È importante sottolineare che i siti che hanno già utilizzato OttoKit con una password applicativa sono al riparo da questo specifico exploit, secondo quanto affermato da Defiant. Tuttavia, se un attaccante riesce ad autenticarsi in altro modo, potrà comunque sfruttare la vulnerabilità per fini malevoli.
Cosa devono fare subito gli amministratori di siti WordPress
Per proteggere i propri siti, Defiant consiglia un aggiornamento immediato del plugin OttoKit alla versione 1.0.83, che contiene patch per entrambe le vulnerabilità.
Inoltre, è opportuno:
- Verificare la presenza di account amministrativi sospetti
- Controllare eventuali connessioni non autorizzate
- Abilitare l’autenticazione a due fattori (2FA)
- Usare un firewall per WordPress come Wordfence per il monitoraggio continuo
Defiant ha anche pubblicato un elenco aggiornato di Indicatori di Compromissione (IoC) per aiutare i webmaster a identificare eventuali segnali di compromissione. Maggiori dettagli tecnici sono disponibili sul blog ufficiale di Wordfence.
Fonti autorevoli:
