2025年4月10日，熱門WordPress插件SureTriggers曝出嚴(yán)重漏洞，在公開披露后僅四小時內(nèi)就遭到攻擊者大規(guī)模利用。

該高危身份驗證繞過漏洞影響1.0.78及之前所有版本，全球安裝量超過10萬次。攻擊者可借此在未經(jīng)驗證的情況下，在受影響網(wǎng)站上創(chuàng)建管理員賬戶，可能導(dǎo)致整個網(wǎng)站淪陷。

漏洞詳情與攻擊路徑分析

漏洞源于SureTriggers插件REST API端點處理機制存在缺陷。安全專家發(fā)現(xiàn)，該插件在處理API請求時未能正確驗證ST-Authorization HTTP頭部字段。

當(dāng)攻擊者提交無效頭部時，插件代碼會返回空值。若網(wǎng)站未配置內(nèi)部密鑰（默認(rèn)即為空值），系統(tǒng)會因"空值==空值"的比較錯誤而通過授權(quán)檢查，完全繞過安全協(xié)議。

據(jù)Patchstack向網(wǎng)絡(luò)安全媒體透露，攻擊者主要針對兩個REST API端點發(fā)起攻擊：

安全監(jiān)測發(fā)現(xiàn)攻擊嘗試來自多個IP地址，包括：

• IPv6地址：2a01:e5c0:3167::2
• IPv6地址：2602:ffc8:2:105:216:3cff:fe96:129f
• IPv4地址：89.169.15.201
• IPv4地址：107.173.63.224

攻擊者主要通過創(chuàng)建管理員賬戶實現(xiàn)持久化控制。安全日志顯示存在多種賬戶創(chuàng)建模式，其中典型攻擊模式包括：

研究人員還發(fā)現(xiàn)另一種變體攻擊格式：

安全分析師指出，攻擊者采用隨機化憑證策略增加檢測難度，每次攻擊嘗試可能使用不同的用戶名、密碼和郵箱別名。

應(yīng)急響應(yīng)建議

使用SureTriggers插件的網(wǎng)站管理員應(yīng)立即采取以下措施：

• 立即升級至最新版本插件
• 若無法立即升級，應(yīng)暫時停用該插件
• 審計4月10日以來創(chuàng)建的所有可疑管理員賬戶
• 檢查近期安裝的插件、主題或修改內(nèi)容
• 審查服務(wù)器日志中針對漏洞端點的請求記錄
• 建議部署Web應(yīng)用防火墻(WAF)加強防護

WebDefend網(wǎng)絡(luò)安全專家Jane Smith表示："從漏洞披露到實際利用僅間隔四小時，凸顯了快速打補丁和安全監(jiān)控的極端重要性。"

據(jù)悉，Patchstack客戶通過虛擬補丁系統(tǒng)在官方補丁發(fā)布前已獲得防護。該事件再次警示W(wǎng)ordPress用戶必須及時更新系統(tǒng)組件，并為網(wǎng)站部署完善的安全防護措施。