OttoKit WordPress 插件管理员创建漏洞 CVE-2025-3102

一、漏洞核心信息与威胁等级

2025 年 4 月，WordPress 自动化插件 OttoKit（原 SureTriggers）被披露存在高严重性安全漏洞（CVE-2025-3102，CVSS v3.1 评分 8.1）。该漏洞为授权绕过漏洞，允许未经身份验证的攻击者在特定条件下创建管理员账户，进而完全控制目标 WordPress 站点。漏洞自公开披露后数小时内即遭实战化利用，攻击者通过伪造管理员账户实施网站接管、恶意代码注入等攻击行为。

二、漏洞技术原理与影响范围

漏洞存在于 OttoKit 插件 1.0.78 及之前所有版本的authenticate_user函数中，核心缺陷是对secret_key参数缺乏空值校验。当插件处于已安装激活但未配置 API 密钥的未初始化状态时，攻击者可通过构造特制 HTTP 请求，绕过身份验证机制直接调用管理员账户创建接口。具体技术逻辑如下：

• 未配置状态下，插件默认使用空值secret_key作为验证令牌
• 函数未校验secret_key有效性，直接允许后续权限操作
• 利用漏洞可生成具有完全控制权限的管理员账户

受影响环境特征

• 插件状态
  
  已安装并激活，但未完成 OttoKit 账户 API 密钥配置

• WordPress 版本
  
  全版本兼容（3.5+），但需插件处于未初始化状态

• 攻击面
  
  暴露 WordPress 站点 REST API 接口的公网环境

三、实战攻击链解析

攻击载体与执行流程

攻击特征与指纹识别

• 常见伪造用户名为 "xtw1838783bc"、"test123123" 等随机字符串

• 关联邮箱多为自动生成的一次性邮箱（如 [email protected]）

• 攻击源 IP 包含以下地址：

• IPv6：2a01:e5c0:3167::2、2602:ffc8:2:105:216:3cff:fe96:129f

• IPv4：89.169.15.201、107.173.63.224

• 攻击流量集中于 /wp-json/suretriggers/v1/authenticate_user 端点

• 网站控制权丧失：攻击者可上传后门插件、植入恶意代码

• 数据安全风险：用户数据泄露、网站内容被篡改

• 攻击跳板构建：利用站点作为 C2 节点发起进一步渗透

• SEO 污染与钓鱼：重定向用户到恶意站点或部署钓鱼页面

该问题已在2025 年 4 月 3 日发布的插件1.0.79 版本中得到解决。

原文始发于微信公众号（TtTeam）：OttoKit WordPress 插件管理员创建漏洞 CVE-2025-3102