【安全资讯】黑客在漏洞披露后数小时内利用WordPress插件认证绕过漏洞

概要：

网络安全领域再次出现严重漏洞，黑客在WordPress插件OttoKit（前称SureTriggers）认证绕过漏洞披露后仅数小时便开始利用该漏洞。此漏洞影响广泛，涉及约10万个网站，用户被强烈建议尽快升级到最新版本以防止潜在的安全风险。

主要内容：

OttoKit插件的认证绕过漏洞被标识为CVE-2025-3102，影响所有版本的SureTriggers/OttoKit，直到1.0.78版本。该漏洞源于authenticate_user()函数中缺失的空值检查，导致在未配置API密钥时，存储的secret_key保持为空。攻击者可以通过发送空的st_authorization头部来绕过认证检查，从而获得对受保护API端点的未授权访问。

一旦成功利用，攻击者能够创建新的管理员账户，可能导致整个网站的完全接管。Wordfence在漏洞披露后仅四小时内便记录到首次攻击尝试，显示出黑客对漏洞的迅速反应。研究人员Patchstack警告称，及时应用补丁或缓解措施至关重要，以防止此类漏洞被迅速利用。

用户应立即升级到1.0.79版本，并检查日志以发现意外的管理员账户或其他用户角色、插件/主题的安装、数据库访问事件及安全设置的修改。这一事件再次强调了网络安全防护的紧迫性与重要性。