Sebuah celah keamanan baru yang berbahaya ditemukan dalam plugin WordPress OttoKit (sebelumnya dikenal sebagai SureTriggers), dan kini tengah dieksploitasi secara aktif oleh pelaku kejahatan siber. Kerentanan ini terdaftar dengan kode CVE-2025-27007 dan memiliki skor CVSS 9.8, menandakan tingkat risiko yang sangat tinggi. Seperti apa celah keamanan yang ditemukan pada wordpress terbaru Juni 2025, berikut informasinya.
Plugin OttoKit sendiri telah digunakan secara luas, dengan jumlah instalasi aktif melebihi 100.000 situs web WordPress di seluruh dunia. Kerentanan ini memengaruhi seluruh versi plugin sebelum dan termasuk versi 1.0.82.
Menurut laporan resmi dari Wordfence, sebuah perusahaan keamanan siber yang khusus memantau ekosistem WordPress, celah ini muncul akibat fungsi create_wp_connection() dalam plugin tidak dilengkapi dengan pemeriksaan kapabilitas dan verifikasi autentikasi pengguna yang memadai.
Kondisi tersebut memungkinkan penyerang yang tidak terautentikasi (tidak login) untuk membangun koneksi ke situs target. Dalam kondisi tertentu, hal ini membuka peluang bagi pelaku untuk melakukan eskalasi hak akses hingga mencapai tingkat administrator.
Namun demikian, eksploitasi terhadap celah ini hanya dimungkinkan dalam dua skenario. Pertama, ketika situs belum pernah mengaktifkan atau menggunakan application password (kata sandi aplikasi). Kedua, ketika pelaku sudah memiliki akses autentik dan dapat membuat application password yang sah.
Wordfence juga mengungkapkan bahwa mereka telah mengamati aktivitas eksploitasi di mana pelaku berupaya memanfaatkan kerentanan tersebut untuk membuat akun administrator baru melalui endpoint khusus yang tersedia dalam plugin OttoKit.
Lalu membuat situasi semakin mengkhawatirkan dengan kenyataan bahwa eksploitasi ini dilakukan bersamaan dengan celah lain, yakni CVE-2025-3102 yang memiliki skor CVSS 8.1. Celah ini juga telah dieksploitasi sejak bulan lalu.
Temuan ini memperkuat dugaan bahwa para pelaku siber tengah melakukan pemindaian masif terhadap instalasi WordPress di seluruh dunia untuk mencari situs-situs yang rentan terhadap kedua celah ini.
Wordfence telah mengidentifikasi sejumlah alamat IP yang aktif mengeksploitasi celah tersebut, di antaranya: 2a0b:4141:820:1f4::2, 41.216.188.205, 144.91.119.115, 194.87.29.57, serta beberapa IP lain yang juga dilaporkan aktif melakukan serangan.
Berdasarkan catatan aktivitas, eksploitasi pertama kali terdeteksi pada 2 Mei 2025 dan meningkat menjadi serangan massal sejak 4 Mei 2025. Ini menunjukkan kecepatan respon pelaku yang sangat tinggi terhadap celah keamanan yang baru diungkapkan.
Sebagai langkah mitigasi, Wordfence mendesak seluruh pengguna OttoKit untuk segera memperbarui plugin mereka ke versi 1.0.83 yang telah dilengkapi dengan tambalan keamanan terbaru guna menutup celah yang ada.
Sementara itu, Patchstack sebuah perusahaan cyber security lain yang juga mengamati peristiwa ini, mengungkapkan bahwa upaya eksploitasi pertama terjadi hanya 91 menit setelah pengungkapan publik mengenai kerentanan tersebut.
Peneliti keamanan dari Patchstack, Chazz Wolcott, menjelaskan bahwa kerentanan ini timbul akibat kesalahan logika dalam penanganan fungsi wp_authenticate_application_password yang dimiliki oleh WordPress, ditambah lemahnya verifikasi terhadap token akses yang disediakan pengguna.
“Akibat dari interaksi tersebut, si hacker dapat memperoleh kendali penuh atas situs web melalui API yang dimiliki plugin OttoKit, termasuk kemampuan untuk membuat akun administrator tambahan,” kata Wolcott dalam pernyataan resminya.
Ia juga menambahkan bahwa situs-situs yang belum pernah mengatur application password oleh administrator sangat rentan terhadap serangan ini. Oleh karena itu, penting bagi administrator untuk segera memeriksa konfigurasi keamanan mereka.
Insiden ini menjadi pengingat penting akan perlunya pengawasan dan pembaruan rutin terhadap plugin yang digunakan di situs WordPress, terutama plugin yang memiliki integrasi API dan fitur automasi tingkat lanjut.
Dengan semakin canggihnya teknik eksploitasi dan kecepatan respon pelaku terhadap celah keamanan baru, dunia maya saat ini tidak hanya membutuhkan teknologi mutakhir, tetapi juga kewaspadaan dan kesadaran kolektif dari para pengguna internet.
