Uma falha crítica no plugin de automação SureTriggers, amplamente utilizado em sites WordPress, expôs mais de 100 mil sites ao risco de comprometimento total. A vulnerabilidade, identificada como CVE-2025-3102 e com pontuação CVSS de 8.1, permite que atacantes criem contas administrativas não autenticadas, podendo assumir o controle completo dos sites afetados. A descoberta foi feita pelo pesquisador de segurança mikemyers e divulgada por meio do programa de recompensas da Wordfence.

O SureTriggers é uma ferramenta poderosa que integra o WordPress com aplicativos e plugins externos, permitindo automatizar ações como criar posts, enviar e-mails ou atualizar dados com base em gatilhos específicos. No entanto, justamente por lidar com comandos automatizados de alto nível, falhas na autenticação representam grandes riscos. A vulnerabilidade está no funcionamento da função authenticate_user(), responsável por verificar o acesso à API REST do plugin. Durante esse processo, o plugin compara a secret_key fornecida com o valor armazenado no banco de dados. O problema ocorre quando o plugin ainda não foi corretamente configurado com uma chave de API válida — situação em que a checagem de autenticação aceita uma chave em branco.

Se um invasor enviar uma requisição com a secret_key vazia e o plugin estiver com a chave de API ausente ou também vazia, a autenticação falha e o acesso é concedido. Assim, o atacante pode executar ações automatizadas, como criar contas de administrador, sem qualquer tipo de verificação real. Com essa brecha, invasores são capazes de criar usuários administrativos, instalar temas e plugins maliciosos, injetar redirecionamentos ou spam, além de estabelecer backdoors persistentes nos sites. A falha afeta especificamente instalações onde o plugin SureTriggers foi ativado, mas ainda não configurado corretamente com uma chave de autenticação.