漏洞公開數(shù)小時(shí)后即遭利用

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，威脅分子正在利用OttoKit WordPress插件（原SureTriggers）中編號為CVE-2025-3102（CVSS評分8.1）的漏洞實(shí)施攻擊，該漏洞在公開披露后僅數(shù)小時(shí)就遭到利用。

當(dāng)插件未配置API密鑰時(shí)，攻擊者可觸發(fā)該漏洞創(chuàng)建惡意管理員賬戶。成功利用該漏洞將導(dǎo)致攻擊者完全控制WordPress網(wǎng)站，上傳惡意插件、篡改內(nèi)容、傳播惡意軟件或垃圾信息，并將訪問者重定向至惡意網(wǎng)站。

漏洞技術(shù)細(xì)節(jié)

安全公告指出："WordPress的SureTriggers全能自動化平臺插件在1.0.78及之前所有版本中，由于'autheticate_user'函數(shù)未對'secret_key'值進(jìn)行空值檢查，存在認(rèn)證繞過漏洞，可導(dǎo)致攻擊者創(chuàng)建管理員賬戶。當(dāng)插件已安裝激活但未配置API密鑰時(shí)，未經(jīng)認(rèn)證的攻擊者即可在目標(biāo)網(wǎng)站上創(chuàng)建管理員賬戶。"

Wordfence研究人員表示，全球超過10萬個(gè)網(wǎng)站使用該存在漏洞的插件，但僅部分網(wǎng)站可被利用，因?yàn)樵撀┒匆蟛寮幱谖磁渲脿顟B(tài)。這家WordPress網(wǎng)絡(luò)安全公司警告稱，該漏洞正被活躍利用，強(qiáng)烈建議用戶立即更新。

攻擊影響范圍

該插件原本用于跨站點(diǎn)和應(yīng)用自動化操作，但代碼中的權(quán)限檢查不完善使得攻擊者可利用未配置的網(wǎng)站。若插件密鑰未設(shè)置且攻擊者發(fā)送空密鑰，即可繞過認(rèn)證創(chuàng)建管理員賬戶，實(shí)現(xiàn)完全控制。雖然該漏洞主要影響新安裝或未配置的環(huán)境，但可能與其他漏洞組合實(shí)現(xiàn)更廣泛利用。

研究人員Michael Mazzolini于2025年3月13日發(fā)現(xiàn)該漏洞，開發(fā)團(tuán)隊(duì)已在2025年4月3日發(fā)布的1.0.79版本中修復(fù)。PatchStack研究人員確認(rèn)該漏洞正被積極利用。

當(dāng)前攻擊特征

攻擊者正嘗試?yán)迷撀┒磩?chuàng)建名為"xtw1838783bc"的管理員賬戶。研究人員觀察到攻擊者嘗試創(chuàng)建具有以下特征的賬戶：

PatchStack建議："由于攻擊特征具有隨機(jī)性，每次攻擊嘗試中的用戶名、密碼和郵箱別名很可能不同。建議使用SureTriggers插件的用戶立即更新至最新版本，并檢查系統(tǒng)中是否存在可疑賬戶、新安裝插件/主題或內(nèi)容篡改等入侵痕跡。"