漏洞背景:OttoKit 插件曝双漏洞,超 10 万网站面临风险
OttoKit(原名 SureTriggers) 是一款 WordPress 自动化集成插件,允许用户将网站与第三方服务连接并实现工作流自动化,目前活跃安装量超过 10 万。然而,2025 年 4 月至 5 月期间,该插件连续曝出两个高危漏洞 (CVE-2025-27007 和 CVE-2025-3102),均涉及权限提升问题,可让攻击者在未授权的情况下创建管理员账户,完全控制目标网站。
安全厂商 Patchstack 和 Wordfence 监测到,黑客自 2025 年 5 月初开始大规模利用这两个漏洞,部分攻击甚至在漏洞公开后 90 分钟内就已出现。由于 OttoKit 用户基数庞大,受影响网站需立即采取行动,否则可能面临数据泄露、恶意代码注入等严重后果。
漏洞详情:黑客如何利用逻辑缺陷接管网站?
1. CVE-2025-27007(CVSS 9.8):未授权 API 提权漏洞
该漏洞影响 OttoKit 1.0.82 及更早版本,核心问题在于 create_wp_connection()函数存在逻辑缺陷,未正确验证用户权限。攻击者可利用此漏洞在以下两种情况下获取管理员权限:
攻击流程:
2. CVE-2025-3102(CVSS 8.1):认证绕过漏洞 (4 月已遭利用)
该漏洞同样允许攻击者创建恶意管理员账户,但利用方式略有不同。黑客通过自动化脚本尝试暴力破解或猜测管理员用户名,结合随机密码和伪造邮箱完成账户创建。
关键问题:
攻击态势:黑客如何大规模扫描并入侵网站?
1. 漏洞公开后 90 分钟内即遭利用
Patchstack 于 2025 年 5 月 5 日发布漏洞公告,但监测显示,攻击者在公告发布后 91 分钟就开始尝试入侵。 Wordfence 进一步发现,5 月 2 日已有试探性攻击,5 月 4 日进入大规模利用阶段。
2. 攻击 IP 与攻击模式分析
监测到的攻击 IP 包括:
2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147
攻击特征:
3. 受影响网站可能面临的后果
修复方案:如何保护网站免受攻击?
1. 立即更新 OttoKit 插件
官方已在 1.0.83 版本修复漏洞,用户应:
2. 检查是否已被入侵
3. 增强 WordPress 安全防护
如果您的网站仍在运行 OttoKit 1.0.82 或更早版本,请立即更新,否则极可能成为下一个受害者!