一、漏洞核心信息与威胁等级

2025 年 4 月,WordPress 自动化插件 OttoKit(原 SureTriggers)被披露存在高严重性安全漏洞(CVE-2025-3102,CVSS v3.1 评分 8.1)。该漏洞为授权绕过漏洞,允许未经身份验证的攻击者在特定条件下创建管理员账户,进而完全控制目标 WordPress 站点。漏洞自公开披露后数小时内即遭实战化利用,攻击者通过伪造管理员账户实施网站接管、恶意代码注入等攻击行为。

二、漏洞技术原理与影响范围

漏洞存在于 OttoKit 插件 1.0.78 及之前所有版本的authenticate_user函数中,核心缺陷是对secret_key参数缺乏空值校验。当插件处于已安装激活但未配置 API 密钥的未初始化状态时,攻击者可通过构造特制 HTTP 请求,绕过身份验证机制直接调用管理员账户创建接口。具体技术逻辑如下:

  • 未配置状态下,插件默认使用空值secret_key作为验证令牌

  • 函数未校验secret_key有效性,直接允许后续权限操作

  • 利用漏洞可生成具有完全控制权限的管理员账户

受影响环境特征

  • 插件状态

    已安装并激活,但未完成 OttoKit 账户 API 密钥配置

  • WordPress 版本

    全版本兼容(3.5+),但需插件处于未初始化状态

  • 攻击面

    暴露 WordPress 站点 REST API 接口的公网环境

三、实战攻击链解析

攻击载体与执行流程

账户特征

  • 常见伪造用户名为 "xtw1838783bc"、"test123123" 等随机字符串

  • 关联邮箱多为自动生成的一次性邮箱(如 user+123@example.com)

网络特征

  • 攻击源 IP 包含以下地址:

  • IPv6:2a01:e5c0:3167::2、2602:ffc8:2:105:216:3cff:fe96:129f

  • IPv4:89.169.15.201、107.173.63.224

  • 攻击流量集中于 /wp-json/suretriggers/v1/authenticate_user 端点

2025 年 4 月 3 日漏洞披露后 72 小时内攻击频次达到峰值

潜在危害影响

  • 网站控制权丧失:攻击者可上传后门插件、植入恶意代码

  • 数据安全风险:用户数据泄露、网站内容被篡改

  • 攻击跳板构建:利用站点作为 C2 节点发起进一步渗透

  • SEO 污染与钓鱼:重定向用户到恶意站点或部署钓鱼页面

该问题已在2025 年 4 月 3 日发布的插件1.0.79 版本中得到解决。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。