2025年4月10日，门插模利热门WordPress插件SureTriggers曝出严重漏洞，高危在公开披露后仅四小时内就遭到攻击者大规模利用。漏洞

该高危身份验证绕过漏洞影响1.0.78及之前所有版本 ，内遭全球安装量超过10万次。大规攻击者可借此在未经验证的门插模利情况下，在受影响网站上创建管理员账户，云计算高危可能导致整个网站沦陷。漏洞

漏洞源于SureTriggers插件REST API端点处理机制存在缺陷。内遭安全专家发现，大规该插件在处理API请求时未能正确验证ST-Authorization HTTP头部字段。门插模利

当攻击者提交无效头部时 ，高危插件代码会返回空值
 。漏洞若网站未配置内部密钥（默认即为空值） ，模板下载内遭系统会因"空值==空值"的大规比较错误而通过授权检查，完全绕过安全协议。

据Patchstack向网络安全媒体透露
，攻击者主要针对两个REST API端点发起攻击：

安全监测发现攻击尝试来自多个IP地址，包括：

攻击者主要通过创建管理员账户实现持久化控制。安全日志显示存在多种账户创建模式，源码库其中典型攻击模式包括：

研究人员还发现另一种变体攻击格式：

安全分析师指出，攻击者采用随机化凭证策略增加检测难度，每次攻击尝试可能使用不同的用户名、密码和邮箱别名。

使用SureTriggers插件的网站管理员应立即采取以下措施：

WebDefend网络安全专家Jane Smith表示："从漏洞披露到实际利用仅间隔四小时，凸显了快速打补丁和安全监控的极端重要性 。亿华云"

据悉 ，Patchstack客户通过虚拟补丁系统在官方补丁发布前已获得防护。该事件再次警示WordPress用户必须及时更新系统组件，并为网站部署完善的安全防护措施
。