漏洞披露数小时后黑客即开始利用WordPress插件身份验证绕过漏洞

在公开披露仅数小时后，漏洞漏洞黑客就开始利用WordPress的披露OttoKit（原SureTriggers）插件中一个可绕过身份验证的高危漏洞。安全专家强烈建议用户立即升级至本月初发布的数小时后始利身份OttoKit/SureTriggers最新版本1.0.79。

OttoKit插件允许用户无需编写代码即可连接WooCommerce、黑客Mailchimp和Google Sheets等外部工具，即开实现发送邮件、用W验证添加用户或更新客户关系管理系统（CRM）等自动化操作。插件据统计，绕过该插件目前被10万个网站使用。漏洞漏洞

Wordfence安全团队昨日披露了编号为CVE-2025-3102的披露身份验证绕过漏洞，影响所有1.0.78及之前版本的数小时后始利身份SureTriggers/OttoKit插件。漏洞根源在于处理REST API身份验证的黑客_authenticate_user()_函数未对空值进行检查——当插件未配置API密钥时，IT技术网存储的即开_secret_key_将保持为空值。

存在漏洞的用W验证代码来源：Wordfence

攻击者通过发送空的_st_authorization_请求头即可绕过检查，获得受保护API端点的插件未授权访问权限。该漏洞本质上允许攻击者在未经认证的情况下创建新的管理员账户，存在网站完全被接管的高风险。

安全研究员"mikemyers"于3月中旬发现该漏洞并报告给Wordfence，获得了1,024美元的漏洞赏金。插件开发商于4月3日收到完整漏洞详情后，当天即发布1.0.79版本修复补丁。免费源码下载

WordPress安全平台Patchstack研究人员警告称，漏洞公开后仅数小时就监测到实际攻击尝试。"攻击者迅速利用该漏洞，我们数据库添加漏洞补丁记录后仅四小时就捕获到首次攻击尝试，"Patchstack报告指出。研究人员强调："这种快速利用现象凸显了漏洞公开后立即应用补丁或缓解措施的极端重要性。"

攻击者使用随机生成的用户名/密码和邮箱组合尝试创建管理员账户，显示出自动化攻击特征。安全团队建议所有OttoKit/SureTriggers用户立即升级至1.0.79版本，并检查日志中是否存在异常管理员账户创建、插件/主题安装、数据库访问事件以及安全设置修改等可疑活动。

最新评论