一、漏洞核心信息与威胁等级
2025 年 4 月,WordPress 自动化插件 OttoKit(原 SureTriggers)被披露存在高严重性安全漏洞(CVE-2025-3102,CVSS v3.1 评分 8.1)。该漏洞为授权绕过漏洞,允许未经身份验证的攻击者在特定条件下创建管理员账户,进而完全控制目标 WordPress 站点。漏洞自公开披露后数小时内即遭实战化利用,攻击者通过伪造管理员账户实施网站接管、恶意代码注入等攻击行为。
二、漏洞技术原理与影响范围
漏洞存在于 OttoKit 插件 1.0.78 及之前所有版本的authenticate_user函数中,核心缺陷是对secret_key参数缺乏空值校验。当插件处于已安装激活但未配置 API 密钥的未初始化状态时,攻击者可通过构造特制 HTTP 请求,绕过身份验证机制直接调用管理员账户创建接口。具体技术逻辑如下:
-
未配置状态下,插件默认使用空值secret_key作为验证令牌 -
函数未校验secret_key有效性,直接允许后续权限操作 -
利用漏洞可生成具有完全控制权限的管理员账户
受影响环境特征
- 插件状态
已安装并激活,但未完成 OttoKit 账户 API 密钥配置
- WordPress 版本
全版本兼容(3.5+),但需插件处于未初始化状态
- 攻击面
暴露 WordPress 站点 REST API 接口的公网环境
三、实战攻击链解析
攻击载体与执行流程
攻击特征与指纹识别
- 常见伪造用户名为 "xtw1838783bc"、"test123123" 等随机字符串
- 关联邮箱多为自动生成的一次性邮箱(如 [email protected])
- 攻击源 IP 包含以下地址:
- IPv6:2a01:e5c0:3167::2、2602:ffc8:2:105:216:3cff:fe96:129f
- IPv4:89.169.15.201、107.173.63.224
- 攻击流量集中于 /wp-json/suretriggers/v1/authenticate_user 端点
- 网站控制权丧失:攻击者可上传后门插件、植入恶意代码
- 数据安全风险:用户数据泄露、网站内容被篡改
- 攻击跳板构建:利用站点作为 C2 节点发起进一步渗透
- SEO 污染与钓鱼:重定向用户到恶意站点或部署钓鱼页面
该问题已在2025 年 4 月 3 日发布的插件1.0.79 版本中得到解决。
原文始发于微信公众号(TtTeam):OttoKit WordPress 插件管理员创建漏洞 CVE-2025-3102
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论