章
目
录
近期,研究人员发现,威胁分子正在利用OttoKit WordPress插件(其前身为SureTriggers)里的一个漏洞发动攻击。这个漏洞编号为CVE-2025-3102,CVSS评分高达8.1,危害不容小觑。
一、漏洞迅速被利用
令人担忧的是,该漏洞在公开披露短短数小时后就被攻击者盯上了。当OttoKit WordPress插件没有配置API密钥时,攻击者就能利用这个漏洞创建恶意的管理员账户。一旦得逞,他们就如同获得了网站的“万能钥匙”,可以完全掌控WordPress网站。攻击者能够肆意上传恶意插件、篡改网站内容、传播恶意软件或垃圾信息,甚至把访问者重定向到恶意网站,给网站所有者和用户带来极大的安全风险。
二、漏洞的技术细节
安全公告显示,在WordPress的SureTriggers全能自动化平台插件的1.0.78及之前的所有版本中,存在一个严重的问题。其“authenticate_user”函数没有对“secret_key”值进行空值检查,这就像是一扇没有锁的门,让攻击者有机可乘,从而导致了认证绕过漏洞,使得他们能创建管理员账户。只要插件安装激活了但没有配置API密钥,未经认证的攻击者就可以在目标网站上轻松创建管理员账户,进而为所欲为。
Wordfence的研究人员透露,全球有超过10万个网站在使用这个存在漏洞的插件。不过,并非所有使用该插件的网站都会被攻击,因为这个漏洞的利用有个前提条件,就是插件处于未配置状态。但即便如此,这家专注于WordPress网络安全的公司还是发出警告,由于该漏洞正在被攻击者频繁利用,建议用户立刻进行更新,以保障网站安全。
三、攻击影响范围解析
OttoKit WordPress插件原本是用于跨站点和应用自动化操作的,但因为代码里的权限检查机制不够完善,给了攻击者可乘之机。如果插件的密钥没有设置,攻击者发送空密钥,就能够绕过认证创建管理员账户,进而实现对网站的完全控制。虽然目前来看,这个漏洞主要影响那些新安装或者未配置的环境,但它有可能和其他漏洞结合起来,扩大攻击范围,造成更严重的后果。
这个漏洞是由研究人员Michael Mazzolini在2025年3月13日发现的。好在开发团队反应迅速,在2025年4月3日发布的1.0.79版本中对其进行了修复。不过,PatchStack的研究人员证实,目前该漏洞仍在被攻击者积极利用。
四、当前攻击特征及应对建议
通过观察,研究人员发现攻击者在利用这个漏洞时,尝试创建具有特定特征的账户。例如,他们创建的账户信息类似这样:
"show_password":"yes"
"role":"administrator"
"password":"4bebb262e22"
"user_name":"xtw1838783bc"
"user_email":"xtw18387+83bc@outlook.com"
还有另一种常见的账户信息形式:
"user_email":"test@test.cc"
"user_name":"test123123"
"password":"TESTtest123!@#"
"first_name":"tes"
"last_name":"est"
"role":"administrator"
PatchStack提醒大家,由于攻击者每次攻击尝试时设置的用户名、密码和邮箱别名很可能不同,具有随机性。所以,正在使用SureTriggers插件的用户,务必立即将插件更新至最新版本。同时,要仔细检查系统中是否存在可疑账户、新安装的不明插件或主题,以及网站内容是否被篡改等入侵痕迹,以便及时发现并处理潜在的安全问题。
