【安全资讯】黑客利用OttoKit WordPress插件漏洞创建管理员账户

概要：

近期，黑客利用OttoKit WordPress插件中的一个严重未认证权限提升漏洞，成功在目标网站上创建了恶意管理员账户。OttoKit是一款在超过10万个网站上使用的WordPress自动化和集成插件，其安全漏洞引发了广泛关注。

主要内容：

该漏洞被追踪为CVE-2025-27007，研究人员Denver Jackson于2025年4月11日向Patchstack报告了这一问题。攻击者通过利用'create_wp_connection'函数中的逻辑错误，绕过身份验证检查，从而获得管理员访问权限。插件开发商在接到报告后，于2025年4月21日发布了补丁，修复了这一漏洞，并增加了对请求中访问密钥的验证检查。

然而，漏洞披露后约90分钟内，攻击者便开始利用这一漏洞进行攻击。他们通过针对REST API端点发送伪装成合法集成尝试的请求，使用猜测或暴力破解的管理员用户名、随机密码和虚假访问密钥进行攻击。一旦初步攻击成功，攻击者会发出后续API调用，悄无声息地在受影响的安装中创建新的管理员账户。

Patchstack建议，如果用户正在使用OttoKit插件，务必尽快更新网站，并检查日志和网站设置以发现攻击和妥协的迹象。这是自2025年4月以来，黑客利用的第二个严重漏洞，之前的漏洞同样是身份验证绕过问题，显示出攻击者的自动化尝试。