OttoKit（原名 SureTriggers）WordPress 插件曝高危漏洞：黑客大规模创建恶意管理员账户

漏洞背景：OttoKit 插件曝双漏洞，超 10 万网站面临风险

OttoKit（原名 SureTriggers）是一款 WordPress 自动化集成插件，允许用户将网站与第三方服务连接并实现工作流自动化，目前活跃安装量超过 10 万。然而，2025 年 4 月至 5 月期间，该插件连续曝出两个高危漏洞（CVE-2025-27007 和 CVE-2025-3102），均涉及权限提升问题，可让攻击者在未授权的情况下创建管理员账户，完全控制目标网站。

安全厂商 Patchstack 和 Wordfence 监测到，黑客自 2025 年 5 月初开始大规模利用这两个漏洞，部分攻击甚至在漏洞公开后 90 分钟内就已出现。由于 OttoKit 用户基数庞大，受影响网站需立即采取行动，否则可能面临数据泄露、恶意代码注入等严重后果。

漏洞详情：黑客如何利用逻辑缺陷接管网站？

1. CVE-2025-27007（CVSS 9.8）：未授权 API 提权漏洞

该漏洞影响 OttoKit 1.0.82 及更早版本，核心问题在于 create_wp_connection()函数存在逻辑缺陷，未正确验证用户权限。攻击者可利用此漏洞在以下两种情况下获取管理员权限：

网站从未启用应用密码（Application Password），且 OttoKit 未通过该方式连接过网站。
攻击者已掌握低权限账户，并能生成有效应用密码。

攻击流程：

黑客向 OttoKit 的 REST API 端点发送伪造请求，模仿合法集成操作。
利用 create_wp_connection 函数绕过认证，建立恶意连接。
随后调用/wp-json/sure-triggers/v1/automation/action 接口，提交"type_event": "create_user_if_not_exists"参数，静默创建管理员账户。

2. CVE-2025-3102（CVSS 8.1）：认证绕过漏洞（4 月已遭利用）

该漏洞同样允许攻击者创建恶意管理员账户，但利用方式略有不同。黑客通过自动化脚本尝试暴力破解或猜测管理员用户名，结合随机密码和伪造邮箱完成账户创建。

关键问题：

两个漏洞可被组合利用，攻击者先尝试 CVE-2025-27007，失败后再测试 CVE-2025-3102 。
漏洞利用过程高度自动化，攻击 IP 通常来自僵尸网络或云服务器。

攻击态势：黑客如何大规模扫描并入侵网站？

1. 漏洞公开后 90 分钟内即遭利用

Patchstack 于 2025 年 5 月 5 日发布漏洞公告，但监测显示，攻击者在公告发布后 91 分钟就开始尝试入侵。 Wordfence 进一步发现，5 月 2 日已有试探性攻击，5 月 4 日进入大规模利用阶段。

2. 攻击 IP 与攻击模式分析

监测到的攻击 IP 包括：

2a0b:4141:820:1f4::2  
41.216.188.205  
144.91.119.115  
194.87.29.57  
196.251.69.118  
107.189.29.12  
205.185.123.102  
198.98.51.24  
198.98.52.226  
199.195.248.147

攻击特征：