Existe una vulnerabilidad de alta severidad en el plugin SureTriggers de WordPress. Esta es una vulnerabilidad de bypass de autorización que podría permitir a un actor malicioso crear cuentas de administrador bajo ciertas condiciones y tomar el control de sitios web vulnerables.
Productos Afectados
- SureTriggers versiones anteriores a la 1.0.79
Impacto
La vulnerabilidad de severidad alta se ha identificado como:
CVE-2025-3102: con una puntuación de 8.1 en CVSS v3.1. El plugin SureTriggers: All-in-One Automation Platform para WordPress es vulnerable a una omisión de autenticación que conlleva la creación de cuentas administrativas debido a la falta de una comprobación de valor vacío en el valor «secret_key» de la función «autheticate_user» en todas las versiones hasta la 1.0.78 inclusive. Esto permite que actores maliciosos no autenticados creen cuentas de administrador en el sitio web objetivo cuando el plugin está instalado y activado, pero no configurado con una clave API.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/suretriggers/suretriggers-1078-authorization-bypass-due-to-missing-empty-value-check-to-unauthenticated-administrative-user-creation
- https://nvd.nist.gov/vuln/detail/CVE-2025-3102