网络安全研究员报告称,黑客正在利用OttoKit WordPress插件中的一个严重漏洞来创建虚假管理员账户。OttoKit(前称SureTriggers)是一个广泛应用于超过10万个网站的WordPress自动化和集成插件。该漏洞被标识为CVE-2025-27007,允许攻击者通过插件API获得管理员权限,是由于’create_wp_connection’函数中的逻辑错误绕过了身份验证检查。
供应商在4月12日得知漏洞后,于4月21日发布了版本1.0.83的补丁,通过在请求中添加访问密钥验证来解决问题。然而,Patchstack在5月5日发布的报告中警告称,漏洞被公开后约90分钟内,攻击活动已开始。攻击者通过REST API端点发送伪装成合法集成请求的攻击,试图通过猜测或暴力破解管理员用户名和随机密码来进行攻击。
Patchstack建议使用OttoKit插件的用户尽快更新网站并检查日志和网站设置,以识别攻击迹象。