OttoKit（原名 SureTriggers）WordPress 外掛曝高危漏洞：駭客大規模建立惡意管理員賬戶

2025.05.08

乙巳蛇年四月十一

50 次瀏覽

漏洞背景：OttoKit 外掛曝雙漏洞，超 10 萬網站面臨風險

OttoKit（原名 SureTriggers）是一款 WordPress 自動化整合外掛，允許使用者將網站與第三方服務連線並實現工作流自動化，目前活躍安裝量超過 10 萬。然而，2025 年 4 月至 5 月期間，該外掛連續曝出兩個高危漏洞（CVE-2025-27007 和 CVE-2025-3102），均涉及許可權提升問題，可讓攻擊者在未授權的情況下建立管理員賬戶，完全控制目標網站。

安全廠商 Patchstack 和 Wordfence 監測到，駭客自 2025 年 5 月初開始大規模利用這兩個漏洞，部分攻擊甚至在漏洞公開後 90 分鐘內就已出現。由於 OttoKit 使用者基數龐大，受影響網站需立即採取行動，否則可能面臨資料洩露、惡意程式碼注入等嚴重後果。

漏洞詳情：駭客如何利用邏輯缺陷接管網站？

1. CVE-2025-27007（CVSS 9.8）：未授權 API 提權漏洞

該漏洞影響 OttoKit 1.0.82 及更早版本，核心問題在於create_wp_connection()函式存在邏輯缺陷，未正確驗證使用者許可權。攻擊者可利用此漏洞在以下兩種情況下獲取管理員許可權：

網站從未啟用應用密碼（Application Password），且 OttoKit 未透過該方式連線過網站。
攻擊者已掌握低許可權賬戶，並能生成有效應用密碼。

攻擊流程：

駭客向 OttoKit 的 REST API 端點傳送偽造請求，模仿合法整合操作。
利用create_wp_connection函式繞過認證，建立惡意連線。
隨後呼叫/wp-json/sure-triggers/v1/automation/action介面，提交"type_event": "create_user_if_not_exists"引數，靜默建立管理員賬戶。

2. CVE-2025-3102（CVSS 8.1）：認證繞過漏洞（4 月已遭利用）

該漏洞同樣允許攻擊者建立惡意管理員賬戶，但利用方式略有不同。駭客透過自動化指令碼嘗試暴力破解或猜測管理員使用者名稱，結合隨機密碼和偽造郵箱完成賬戶建立。

關鍵問題：

兩個漏洞可被組合利用，攻擊者先嚐試 CVE-2025-27007，失敗後再測試 CVE-2025-3102 。
漏洞利用過程高度自動化，攻擊 IP 通常來自殭屍網路或雲伺服器。

攻擊態勢：駭客如何大規模掃描併入侵網站？

1. 漏洞公開後 90 分鐘內即遭利用

Patchstack 於 2025 年 5 月 5 日釋出漏洞公告，但監測顯示，攻擊者在公告發布後 91 分鐘就開始嘗試入侵。 Wordfence 進一步發現，5 月 2 日已有試探性攻擊，5 月 4 日進入大規模利用階段。

2. 攻擊 IP 與攻擊模式分析

監測到的攻擊 IP 包括：

2a0b:4141:820:1f4::2   41.216.188.205   144.91.119.115   194.87.29.57   196.251.69.118   107.189.29.12   205.185.123.102   198.98.51.24   198.98.52.226   199.195.248.147

攻擊特徵：