在公開(kāi)披露僅數(shù)小時(shí)后，黑客就開(kāi)始利用WordPress的OttoKit（原SureTriggers）插件中一個(gè)可繞過(guò)身份驗(yàn)證的高危漏洞。安全專(zhuān)家強(qiáng)烈建議用戶立即升級(jí)至本月初發(fā)布的OttoKit/SureTriggers最新版本1.0.79。

插件功能與影響范圍

OttoKit插件允許用戶無(wú)需編寫(xiě)代碼即可連接WooCommerce、Mailchimp和Google Sheets等外部工具，實(shí)現(xiàn)發(fā)送郵件、添加用戶或更新客戶關(guān)系管理系統(tǒng)（CRM）等自動(dòng)化操作。據(jù)統(tǒng)計(jì)，該插件目前被10萬(wàn)個(gè)網(wǎng)站使用。

漏洞技術(shù)細(xì)節(jié)

Wordfence安全團(tuán)隊(duì)昨日披露了編號(hào)為CVE-2025-3102的身份驗(yàn)證繞過(guò)漏洞，影響所有1.0.78及之前版本的SureTriggers/OttoKit插件。漏洞根源在于處理REST API身份驗(yàn)證的_authenticate_user()_函數(shù)未對(duì)空值進(jìn)行檢查——當(dāng)插件未配置API密鑰時(shí)，存儲(chǔ)的_secret_key_將保持為空值。

存在漏洞的代碼來(lái)源：Wordfence

攻擊者通過(guò)發(fā)送空的_st_authorization_請(qǐng)求頭即可繞過(guò)檢查，獲得受保護(hù)API端點(diǎn)的未授權(quán)訪問(wèn)權(quán)限。該漏洞本質(zhì)上允許攻擊者在未經(jīng)認(rèn)證的情況下創(chuàng)建新的管理員賬戶，存在網(wǎng)站完全被接管的高風(fēng)險(xiǎn)。

漏洞披露與修復(fù)時(shí)間線

安全研究員"mikemyers"于3月中旬發(fā)現(xiàn)該漏洞并報(bào)告給Wordfence，獲得了1,024美元的漏洞賞金。插件開(kāi)發(fā)商于4月3日收到完整漏洞詳情后，當(dāng)天即發(fā)布1.0.79版本修復(fù)補(bǔ)丁。

黑客快速利用情況

WordPress安全平臺(tái)Patchstack研究人員警告稱(chēng)，漏洞公開(kāi)后僅數(shù)小時(shí)就監(jiān)測(cè)到實(shí)際攻擊嘗試。"攻擊者迅速利用該漏洞，我們數(shù)據(jù)庫(kù)添加漏洞補(bǔ)丁記錄后僅四小時(shí)就捕獲到首次攻擊嘗試，"Patchstack報(bào)告指出。研究人員強(qiáng)調(diào)："這種快速利用現(xiàn)象凸顯了漏洞公開(kāi)后立即應(yīng)用補(bǔ)丁或緩解措施的極端重要性。"

攻擊者使用隨機(jī)生成的用戶名/密碼和郵箱組合嘗試創(chuàng)建管理員賬戶，顯示出自動(dòng)化攻擊特征。安全團(tuán)隊(duì)建議所有OttoKit/SureTriggers用戶立即升級(jí)至1.0.79版本，并檢查日志中是否存在異常管理員賬戶創(chuàng)建、插件/主題安裝、數(shù)據(jù)庫(kù)訪問(wèn)事件以及安全設(shè)置修改等可疑活動(dòng)。