黑客正在利用 OttoKit WordPress 插件中一个严重的未经身份验证的权限提升漏洞,在目标网站上创建恶意管理员帐户。
OttoKit(以前称为 SureTriggers)是一款 WordPress 自动化和集成插件,已在超过 100,000 个网站中使用,允许用户将其网站连接到第三方服务并自动化工作流程。
2025 年 4 月 11 日,Patchstack 收到了研究员丹佛·杰克逊 (Denver Jackson) 提交的有关 OttoKit 中一个严重漏洞的报告。
该漏洞的标识符为 CVE-2025-27007,攻击者可以利用“create_wp_connection”函数中的逻辑错误,通过插件的 API 获得管理员访问权限,在未设置应用程序密码时绕过身份验证检查。
供应商第二天就收到了通知,并于 2025 年 4 月 21 日发布了补丁,OttiKit 版本为 1.0.83,增加了对请求中使用的访问密钥的验证检查。
截至 2025 年 4 月 24 日,大多数插件用户已被强制更新至修补版本。
Patchstack 于 2025 年 5 月 5 日发布了其报告,但新的更新警告称,漏洞利用活动在公开披露后大约 90 分钟就开始了。
攻击者试图通过瞄准 REST API 端点、发送模仿合法集成尝试的请求、使用“create_wp_connection”以及猜测或暴力破解的管理员用户名、随机密码以及虚假访问密钥和电子邮件地址来利用该漏洞。
一旦初始攻击成功,攻击者就会向“/wp-json/sure-triggers/v1/automation/action”和“?rest_route=/wp-json/sure-triggers/v1/automation/action”发出后续 API 调用,包括有效载荷值:“type_event”:“create_user_if_not_exists”。
Patchstack 建议:“如果您正在使用 OttoKit 插件,强烈建议您尽快更新您的网站,并检查您的日志和网站设置中是否存在这些攻击和泄露指标。”
这是自 2025 年 4 月以来黑客利用的 OttoKit 中的第二个严重漏洞,前一个是另一个被追踪为CVE-2025-3102 的身份验证绕过漏洞。
该漏洞的利用始于漏洞披露的同一天,攻击者试图使用随机用户名、密码和电子邮件地址创建恶意管理员帐户,这表明存在自动化尝试。
原文始发于微信公众号(犀牛安全):黑客利用 OttoKit WordPress 插件漏洞添加管理员帐户
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4114221.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论