在公開披露僅數(shù)小時后，黑客就開始利用WordPress的OttoKit（原SureTriggers）插件中一個可繞過身份驗證的高危漏洞。安全專家強烈建議用戶立即升級至本月初發(fā)布的OttoKit/SureTriggers最新版本1.0.79。

插件功能與影響范圍

OttoKit插件允許用戶無需編寫代碼即可連接WooCommerce、Mailchimp和Google Sheets等外部工具，實現(xiàn)發(fā)送郵件、添加用戶或更新客戶關(guān)系管理系統(tǒng)（CRM）等自動化操作。據(jù)統(tǒng)計，該插件目前被10萬個網(wǎng)站使用。

漏洞技術(shù)細節(jié)

Wordfence安全團隊昨日披露了編號為CVE-2025-3102的身份驗證繞過漏洞，影響所有1.0.78及之前版本的SureTriggers/OttoKit插件。漏洞根源在于處理REST API身份驗證的_authenticate_user()_函數(shù)未對空值進行檢查——當插件未配置API密鑰時，存儲的_secret_key_將保持為空值。

存在漏洞的代碼來源：Wordfence

攻擊者通過發(fā)送空的_st_authorization_請求頭即可繞過檢查，獲得受保護API端點的未授權(quán)訪問權(quán)限。該漏洞本質(zhì)上允許攻擊者在未經(jīng)認證的情況下創(chuàng)建新的管理員賬戶，存在網(wǎng)站完全被接管的高風險。

漏洞披露與修復時間線

安全研究員"mikemyers"于3月中旬發(fā)現(xiàn)該漏洞并報告給Wordfence，獲得了1,024美元的漏洞賞金。插件開發(fā)商于4月3日收到完整漏洞詳情后，當天即發(fā)布1.0.79版本修復補丁。

黑客快速利用情況

WordPress安全平臺Patchstack研究人員警告稱，漏洞公開后僅數(shù)小時就監(jiān)測到實際攻擊嘗試。"攻擊者迅速利用該漏洞，我們數(shù)據(jù)庫添加漏洞補丁記錄后僅四小時就捕獲到首次攻擊嘗試，"Patchstack報告指出。研究人員強調(diào)："這種快速利用現(xiàn)象凸顯了漏洞公開后立即應用補丁或緩解措施的極端重要性。"

攻擊者使用隨機生成的用戶名/密碼和郵箱組合嘗試創(chuàng)建管理員賬戶，顯示出自動化攻擊特征。安全團隊建議所有OttoKit/SureTriggers用戶立即升級至1.0.79版本，并檢查日志中是否存在異常管理員賬戶創(chuàng)建、插件/主題安裝、數(shù)據(jù)庫訪問事件以及安全設置修改等可疑活動。