漏洞公開數小時后即遭利用

網絡安全研究人員發(fā)現(xiàn)，威脅分子正在利用OttoKit WordPress插件（原SureTriggers）中編號為CVE-2025-3102（CVSS評分8.1）的漏洞實施攻擊，該漏洞在公開披露后僅數小時就遭到利用。

當插件未配置API密鑰時，攻擊者可觸發(fā)該漏洞創(chuàng)建惡意管理員賬戶。成功利用該漏洞將導致攻擊者完全控制WordPress網站，上傳惡意插件、篡改內容、傳播惡意軟件或垃圾信息，并將訪問者重定向至惡意網站。

漏洞技術細節(jié)

安全公告指出："WordPress的SureTriggers全能自動化平臺插件在1.0.78及之前所有版本中，由于'autheticate_user'函數未對'secret_key'值進行空值檢查，存在認證繞過漏洞，可導致攻擊者創(chuàng)建管理員賬戶。當插件已安裝激活但未配置API密鑰時，未經認證的攻擊者即可在目標網站上創(chuàng)建管理員賬戶。"

Wordfence研究人員表示，全球超過10萬個網站使用該存在漏洞的插件，但僅部分網站可被利用，因為該漏洞要求插件處于未配置狀態(tài)。這家WordPress網絡安全公司警告稱，該漏洞正被活躍利用，強烈建議用戶立即更新。

攻擊影響范圍

該插件原本用于跨站點和應用自動化操作，但代碼中的權限檢查不完善使得攻擊者可利用未配置的網站。若插件密鑰未設置且攻擊者發(fā)送空密鑰，即可繞過認證創(chuàng)建管理員賬戶，實現(xiàn)完全控制。雖然該漏洞主要影響新安裝或未配置的環(huán)境，但可能與其他漏洞組合實現(xiàn)更廣泛利用。

研究人員Michael Mazzolini于2025年3月13日發(fā)現(xiàn)該漏洞，開發(fā)團隊已在2025年4月3日發(fā)布的1.0.79版本中修復。PatchStack研究人員確認該漏洞正被積極利用。

當前攻擊特征

攻擊者正嘗試利用該漏洞創(chuàng)建名為"xtw1838783bc"的管理員賬戶。研究人員觀察到攻擊者嘗試創(chuàng)建具有以下特征的賬戶：

PatchStack建議："由于攻擊特征具有隨機性，每次攻擊嘗試中的用戶名、密碼和郵箱別名很可能不同。建議使用SureTriggers插件的用戶立即更新至最新版本，并檢查系統(tǒng)中是否存在可疑賬戶、新安裝插件/主題或內容篡改等入侵痕跡。"