各位站长朋友们,如果你正在使用 OttoKit(这个插件以前叫做 SureTriggers)这款 WordPress 自动化插件,请立刻打起十二分精神!安全研究人员近日发现该插件存在一个严重级别为“高危”的安全漏洞,编号为 CVE-2025-3102。
这个漏洞可不是闹着玩的,它允许攻击者绕过身份验证!这意味着,坏人不需要知道你的密码,就能访问你网站上受保护的 API 接口。
漏洞是怎么回事?搬主题带你看看技术细节
根据披露的信息,这个漏洞出在插件的一个叫做 authenticate_user() 的函数上。问题在于,这个函数缺少了对空值的检查。
具体来说,如果用户没有在插件设置里配置 API 密钥(API Key),那么插件内部存储的 secret_key(密钥)值就会是空的。这时候,攻击者只需要发送一个空的 st_authorization 请求头,就能成功骗过这个检查机制,从而获得未授权的访问权限。
最可怕的后果是什么?
攻击者一旦利用这个漏洞绕过了身份验证,最严重的情况是,他们可以直接创建新的管理员账户!你想想,网站里多了一个不请自来的“管理员”,那你的网站内容、用户数据、设置……基本上就等于完全落入他人之手了,后果不堪设想!
漏洞发现与修复时间线,以及令人担忧的快速利用!
- 发现与报告: 安全研究人员在 3 月中旬 就发现了这个漏洞,并及时报告给了插件的开发商。
- 细节披露与修复: 开发商在 4 月 3 日 收到了完整的漏洞利用细节后,响应非常迅速,当天就发布了修复版本 1.0.79。这一点值得肯定!
- 黑客迅速行动: 然而,坏消息是,黑客们的消息也非常灵通!根据 WordPress 安全平台 Patchstack 的监测,就在漏洞细节被公开后的短短 4 小时内,他们就记录到了首次利用该漏洞的攻击尝试!
- 自动化攻击特征: Patchstack 观察到,攻击者试图使用随机生成的用户名、密码和电子邮件地址组合来创建新的管理员账户。这表明攻击很可能是自动化的,正在大规模扫描和尝试攻击存在漏洞的网站。
受影响的版本与用户数量
这次漏洞影响 OttoKit / SureTriggers 插件的 1.0.78 及以下所有版本。据估计,使用这些受影响版本的网站数量大约有 10 万个。
建议:立即行动!
如果你正在使用 OttoKit (SureTriggers) 插件,请不要有任何侥幸心理,立即采取以下行动:
- 立即更新插件! 这是最最重要的一步!请立刻将 OttoKit / SureTriggers 插件升级到最新版本 1.0.79 或更高版本。新版本已经修复了这个高危漏洞。
- 检查网站用户列表! 更新插件后,务必仔细检查你 WordPress 网站的用户列表,看看是否有你不认识的、意外多出来的管理员账户或其他可疑的用户角色。如果发现,立即删除!
- 检查插件和主题! 检查是否有未经你许可安装的新插件或主题。
- 审查网站日志! 如果你有访问日志或安全日志,请检查近期是否有异常的数据库访问事件或安全设置被修改的记录。
- 考虑更换密码! 作为额外的安全措施,考虑更换你的管理员账户密码以及数据库密码。
这次 OttoKit (SureTriggers) 的漏洞非常严重,而且已经被黑客快速利用。请所有使用该插件的用户务必、立刻、马上检查你的插件版本并进行更新!保护好你的网站,刻不容缓!
购买/下载遇到问题?可联系
闲鱼名称:三点水帅哥
客服邮箱:382813125@qq.com
安装、使用问题,请先查看:技术支持说明
本文由 wpwdbfg 创作,采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为: Mar 27, 2026 at 11:56 pm